ຄໍາຮ້ອງສະຫມັກ Web2 ເຊັ່ນ Discord ອີກເທື່ອຫນຶ່ງໄດ້ຖືກສະແດງໃຫ້ເຫັນວ່າເປັນການເຊື່ອມໂຍງທີ່ອ່ອນແອໃນສານຫນູຂອງໂຄງການ blockchain. ຫຼາຍກວ່າ 175 ETH ໄດ້ຖືກຖອນອອກຈາກບັນຊີນັກລົງທຶນຫຼັງຈາກເຄື່ອງແມ່ຂ່າຍຂອງສະໂມສອນ Bored Ape Yacht Discord ຖືກລະເມີດ. @BorisVagner, ຜູ້ທີ່ພຽງແຕ່ໄດ້ຮັບການສົ່ງເສີມໃນສື່ມວນຊົນສັງຄົມສໍາລັບ Yuga Labs ໃນເດືອນມັງກອນ 2022, ໄດ້ລະເມີດບັນຊີ Discord ຂອງລາວ. ຈາກນັ້ນຜູ້ໂຈມຕີສາມາດໂພສລິ້ງ phishing ຜ່ານບັນຊີທາງການຂອງ BorisVagner ຢູ່ໃນເຊີບເວີ Yuga Labs Discord.
ລິ້ງດັ່ງກ່າວໄດ້ຖືກແກ້ໄຂຄືນໃໝ່ເພື່ອປົກປ້ອງຜູ້ອ່ານຈາກການເຂົ້າເບິ່ງເວັບໄຊທ໌ phishing. ສຸດທ້າຍ BAYC ໄດ້ອອກຖະແຫຼງການ 9 ຊົ່ວໂມງຫຼັງຈາກໄດ້ມີການລາຍງານຄັ້ງທໍາອິດ ລະບຸ,
"ເຊີບເວີ Discord ຂອງພວກເຮົາຖືກຂູດຮີດໄລຍະສັ້ນໆໃນມື້ນີ້. ທີມງານໄດ້ຈັບແລະແກ້ໄຂມັນຢ່າງໄວວາ. ປະມານ 200 ETH ມູນຄ່າ NFTs ເບິ່ງຄືວ່າໄດ້ຮັບຜົນກະທົບ. ພວກເຮົາຍັງສືບສວນຢູ່, ແຕ່ຖ້າທ່ານໄດ້ຮັບຜົນກະທົບ, ສົ່ງອີເມວຫາພວກເຮົາ [email protected]"
ຖະແຫຼງການລາຍງານວ່າທີມງານ "ແກ້ໄຂຢ່າງໄວວາ" ແລະຢືນຢັນມູນຄ່າທັງຫມົດທີ່ສູນເສຍໂດຍສະມາຊິກເປັນ 200 ETH. ໃນມູນຄ່າຂອງມື້ນີ້ທີ່ $354k ຫມົດໄປເກືອບບໍ່ມີເວລາເລີຍ. ການຂາດຄວາມຮີບດ່ວນໃນການລາຍງານບັນຫາດັ່ງກ່າວຕໍ່ຊຸມຊົນຂອງຕົນ ແລະ ຄວາມຫຍໍ້ທໍ້ຂອງການປະກາດ ຊີ້ໃຫ້ເຫັນເຖິງອົງປະກອບຂອງຄວາມພໍໃຈໂດຍ Yuga Labs.
ບັນຊີຜູ້ຈັດການຊຸມຊົນຖືກລະເມີດ.
ອີງຕາມ Peckshield, "32 NFTs ຖືກລັກ, ລວມທັງ 1 #BAYC, 2 #MAYC, 5 #Otherdeed, 1 #BAKC" ການລະເມີດໄດ້ຖືກລາຍງານໃນເບື້ອງຕົ້ນໂດຍ OKHotshot, ຜູ້ທີ່ tweeted, “@BorisVagner ໄດ້ຮັບການລະເມີດບັນຊີຂອງລາວ, ເຊິ່ງປ່ອຍໃຫ້ຜູ້ຫລອກລວງປະຕິບັດການໂຈມຕີ phishing ຂອງພວກເຂົາ. ຫຼາຍກວ່າ 145E ໃນໄດ້ຖືກລັກ." OKHotshot ບອກພວກເຮົາໂດຍສະເພາະວ່າມັນປະມານ $354k.
"ການປະຕິບັດຄວາມປອດໄພທີ່ເຫມາະສົມຄວນໄດ້ຮັບການສະຫນັບສະຫນູນສໍາລັບໂຄງການໃດກໍ່ຕາມທີ່ມີລາຍໄດ້ຫຼາຍລ້ານ. ໂດຍສະເພາະຖ້າໂຄງການຢູ່ໃນ 10 ອັນດັບຕົ້ນຂອງຕະຫຼາດ. ບໍ່ມີຜູ້ຈັດການຄວາມປອດໄພເພີ່ມຄວາມສ່ຽງນັ້ນຢ່າງຫຼວງຫຼາຍ.”
OKHotshot ເຊື່ອວ່າຜູ້ຈັດການຄວາມປອດໄພສາມາດປ້ອງກັນສິ່ງນີ້ໄດ້ຍ້ອນວ່າ "ພວກເຂົາຈະຈັດການກັບການປະຕິບັດຄວາມປອດໄພທີ່ບໍ່ສອດຄ່ອງ, ນະໂຍບາຍຂອງທີມງານ, ແລະໃຫ້ແນ່ໃຈວ່າພວກເຂົາຖືກຍຶດຫມັ້ນ. ບໍ່ມີສະມາຊິກທີມໃດຄວນເປີດຂໍ້ຄວາມໂດຍກົງຂອງພວກເຂົາ, ຄລິກໃສ່ການເຊື່ອມຕໍ່ຫຼືໃຊ້ບັນຊີຕົ້ນຕໍຂອງພວກເຂົາຢູ່ໃນເຄື່ອງແມ່ຂ່າຍອື່ນ, ພຽງແຕ່ໃຫ້ຕົວຢ່າງບາງຢ່າງ." Yuga Labs ມີ ພາລະບົດບາດຫຼາຍ ມີຢູ່, ແຕ່ບໍ່ມີບົດບາດຄວາມປອດໄພແມ່ນມີຊີວິດຢູ່.
ປະຕິກິລິຍາຂອງຊຸມຊົນ
ຊຸມຊົນ crypto ຍັງໄດ້ກ່າວເຖິງບັນຫາໂດຍຜ່ານກະທູ້ທີ່ຈັດພີມມາໂດຍຜູ້ໃຊ້ Reddit u/naji102. ຜູ້ໃຊ້ໄດ້ປຶກສາຫາລືກ່ຽວກັບການຫຼຸດລົງຂອງຄວາມໄວ້ວາງໃຈສໍາລັບ NFTs ເນື່ອງຈາກການເພີ່ມຂຶ້ນຂອງການຫລອກລວງທີ່ແມ້ກະທັ້ງມາຈາກແຫຼ່ງທີ່ເປັນທາງການ. u/XnoonefromnowhereX ໄດ້ສະແດງຄວາມຄິດເຫັນວ່າ, "ຂໍ້ຄວາມມີຄວາມຜິດພາດທາງໄວຍາກອນທີ່ຄວນຈະເປັນທຸງສີແດງ," ໃນຂະນະທີ່ u/CrimsonFox99 ກ່າວຢ່າງເຫັນອົກເຫັນໃຈ, "ຍາກທີ່ຈະຕໍານິຕິຕຽນພວກເຂົາໃນສ່ວນນັ້ນ, ໂດຍສະເພາະແມ່ນມາຈາກແຫຼ່ງທີ່ເຊື່ອຖືໄດ້."
ຜູ້ໃຊ້ Twitter ໄດ້ເຂົ້າຫາ OpenSea ແລະ LooksRare ການອ້ອນວອນ “ຂ້າພະເຈົ້າພຽງແຕ່ຄລິກໃສ່ການຮ້ອງຂໍ goblin ປອມ. 2 MAYC ແລະແມວເຢັນ 8 ໂຕຖືກລັກ. … ກະລຸນາຊ່ວຍເຫຼືອ. ພວກເຂົາລັກເອົາທຸກຢ່າງຈາກຂ້ອຍ.” ການໂທມາຈາກຜູ້ໃຊ້ອື່ນໆທີ່ສະຫນັບສະຫນູນການລິເລີ່ມທີ່ຈະຢຸດບັນຊີຂອງໂຈນ. ມັນເບິ່ງຄືວ່າເລື້ອຍໆການກະຈາຍອໍານາດພຽງແຕ່ໄດ້ຮັບການສະຫນັບສະຫນູນຈົນກ່ວານັກລົງທຶນຕ້ອງການການສະຫນັບສະຫນູນຈາກສູນກາງ.
BAYC Discord ຫຼຸດຫນ້ອຍລົງກ່ອນ
ນີ້ບໍ່ແມ່ນຄັ້ງທໍາອິດທີ່ເຄື່ອງແມ່ຂ່າຍ Discord ໄດ້ ຫຼຸດຫນ້ອຍລົງ. ເຊີບເວີຖືກແຮັກໃນເດືອນເມສາ 2022, ໂດຍມີ MAYC #8662 ຖືກລັກ. ໄດ້ ເລື່ອງສືບຕໍ່ ຕາມທີ່ຮູ້ກັນໃນພາຍຫຼັງວ່າ ແຈ່ວ ຊຸບເປີສະຕາດັງຊາວໄຕ້ຫວັນ ເປັນເຈົ້າຂອງ NFT ທີ່ຖືກລັກໄປມູນຄ່າ 550 ພັນໂດລາ. ໂປຣໄຟລ໌ Discord ໄດ້ຖືກລັກລອບໃນທັງສອງໂອກາດ, ອະນຸຍາດໃຫ້ການໂຈມຕີສາມາດໂພສລິ້ງຟິດຊິງໃສ່ຊ່ອງທາງທີ່ເປັນທາງການ.
ປົກປ້ອງໂຄງສ້າງພື້ນຖານຂອງ web2 ທີ່ເຊື່ອມໂຍງກັບ web3
ມີວິທີແກ້ໄຂທີ່ຖືກປ່ອຍອອກມາເພື່ອພະຍາຍາມຕໍ່ສູ້ກັບບັນຫາຂອງເວັບໄຊທ໌ຫລອກລວງ. ເຄື່ອງມືຕ້ານໄວຣັສທີ່ສໍາຄັນສ່ວນໃຫຍ່ໃຊ້ຫ້ອງສະຫມຸດຂອງສະຖານທີ່ບັນຊີດໍາເພື່ອຊ່ວຍຜູ້ໃຊ້ໃນການທ່ອງອິນເຕີເນັດ. ຢ່າງໃດກໍ່ຕາມ, ຄວາມໄວແລະຄວາມຖີ່ຂອງການຫລອກລວງຫມາຍຄວາມວ່າເຄື່ອງມືເຫຼົ່ານີ້ອາດຈະບໍ່ທັນສະ ເໝີ ໄປ. ນາມສະກຸນ chrome Wallet Guard ພະຍາຍາມແກ້ໄຂບັນຫານີ້ຢູ່ໃນຊ່ອງ web3.
Wallet Guard ບອກ CryptoSlate:
"ບໍ່ແມ່ນທຸກຄົນມີພື້ນຖານທາງວິຊາການຫຼືເຄີຍຢູ່ໃນພື້ນທີ່ດົນເກີນໄປ ... ສ່ວນຂະຫຍາຍຂອງພວກເຮົາບໍ່ເຄີຍແຕະໃສ່ກະເປົາເງິນຂອງເຈົ້າ, ມັນພຽງແຕ່ຕ້ອງການຮູ້ວ່າໂດເມນທີ່ເຈົ້າພະຍາຍາມຈະໄປຢ້ຽມຢາມ."
ເຄື່ອງມືດັ່ງກ່າວໄດ້ລາຍງານ URL ຂອງເວັບໄຊທ໌ phishing ທີ່ຖືກຈັດພີມມາຢູ່ໃນບັນຊີ Discord ຂອງ BorisVagner ແລະສາມາດຊ່ວຍໃຫ້ນັກລົງທຶນຕັດສິນໃຈວ່າພວກເຂົາຄວນໄວ້ວາງໃຈໃນການເຊື່ອມຕໍ່.
ຢ່າງໃດກໍຕາມ, ເຖິງແມ່ນວ່າເຄື່ອງມືເຊັ່ນນີ້ແມ່ນບໍ່ invulnerable. ຜູ້ຫຼອກລວງທີ່ສັບສົນທາງທິດສະດີສາມາດເຂົ້າໄປໃນເຄື່ອງແມ່ຂ່າຍ Discord ຢ່າງເປັນທາງການໃນຂະນະທີ່ຍັງໂຈມຕີເວັບໄຊທ໌ເຊັ່ນ Wallet Guard ເພື່ອເຮັດໃຫ້ມັນເບິ່ງຄືວ່າເປັນເວັບໄຊທ໌ທີ່ຖືກຕ້ອງ." ຢ່າງໃດກໍຕາມ, ບໍ່ມີເຄື່ອງມືທີ່ຄາດວ່າຈະ 100% invulnerable ກັບການໂຈມຕີທັງຫມົດ. ວິທີໃດກໍ່ຕາມນັກລົງທຶນສາມາດຫຼຸດຜ່ອນໂອກາດຂອງພວກເຂົາຕົກເປັນເຫຍື່ອຂອງການສໍ້ໂກງຄວນໄດ້ຮັບການຊຸກຍູ້.
ຢ່າງໃດກໍຕາມ, ແຕ່ລະ phishing scam ໂຈມຕີໂຄງການ blockchain scam ມັນມາໂດຍຜ່ານການເຊື່ອມຕໍ່ web2 ກັບໂຄງການ blockchain. ການເພີ່ມການເຮັດວຽກຂອງ web3 ໃຫ້ກັບເທກໂນໂລຍີ web2 ເຊັ່ນ Discord ສາມາດເພີ່ມຄວາມປອດໄພຂອງມັນຢ່າງຫຼວງຫຼາຍ.
CryptoSlate ໄດ້ຕິດຕໍ່ກັບ BorisVagner ສໍາລັບຄໍາເຫັນແຕ່ບໍ່ໄດ້ຮັບການຕອບສະຫນອງ.
ແຫຼ່ງຂໍ້ມູນ: https://cryptoslate.com/bored-ape-yacht-club-discord-server-breached-causing-200-eth-32-nfts-in-losses/