Хакеры неизвестным образом скомпрометировали Instagram*-аккаунт и Discord-сервер NFT-проекта Bored Ape Yacht Club. Злоумышленники распространили среди подписчиков рекламу фейкового airdrop’а с вредоносной ссылкой, и в итоге похитили NFT общей стоимостью около 3 млн долларов.
Представители компании Yuga Labs, стоящей за Bored Ape Yacht Club, сообщили о взломе в официальном Twitter.
«Похоже, что Instagram* BAYC взломан. Никакого минтинга, не нажимайте на ссылки и не связывайте свой кошелек ни с чем», — предупредили в Yuga Labs.
Сообщается, что через взломанные аккаунты хакеры анонсировали фейковый airdrop, сопроводив рекламу вредоносной ссылкой, переходя по которой, люди попадали на фишинговый сайт, внешне имитирующий официальный сайт Bored Ape Yacht Club, где в итоге передавали контроль над своими кошельками злоумышленникам.
Интересно, что в Yuga Labs уверяют, что для взломанных учетных записей была включена двухфакторная аутентификация и меры безопасности в целом «были жесткими». В настоящее время ведется расследование случившегося, но пока совершенно неясно, каким образом злоумышленники смогли получить доступ к аккаунтам.
По данным OpenSea, после взлома владельцев сменили 24 NFT из коллекции Bored Apes и 30 из Mutant Apes. Впрочем, отмечается, что некоторые держатели NFT могли сами передать токены другим лицам из соображений безопасности. Стоимость этих 54 NFT составляет примерно 13,7 млн долларов.
Независимый исследователь Zachxbt поделился ссылкой на Ethereum-адрес хакера, который в настоящее время помечен как фишинговый на Etherscan. Судя по всему, за несколько часов на этот адрес поступили 134 NFT.
В Yuga Labs заявляют, что пострадавших было намного меньше. По информации компании, в ходе атаки были украдены 4 NFT Bored Apes, 6 Mutant Apes и 3 BAKC, общая стоимость которых равна приблизительно 2,7 млн долларов.
«Я только что потерял на этом более 100 эфиров. *** неприемлемо. [Это был] официальный инстаграм* и сайт выглядел настоящим. Теперь я нахожусь в ситуации, когда мне придется подать в суд на Yugo из-за этого взлома. Я не откажусь от своих 300 000 долларов, потому что их дерьмо взломали», — пишет один из пострадавших.
«Это как наблюдать за группой людей, которая вбегает в горящее здание, на котором написано “бесплатные деньги”», — злорадствуют другие пользователи.
- * Заблокирован в России, принадлежит компании Meta, признанной экстремистской организацией, запрещенной на территории РФ.
Источник: xakep