SOLANA bernilai $150K dicuri daripada projek NFT dengan penggodaman Discord

Pembeli yang berharap untuk mendapatkan NFT edisi terhad daripada Fractal, pasaran baharu untuk item permainan NFT, diberi kejutan yang tidak menyenangkan pada pagi Selasa apabila ia mendedahkan bahawa pautan yang dihantar melalui saluran Discord rasmi projek itu adalah penipuan yang dibuat untuk mencuri crypto.

Pengguna yang mengikuti pautan dan menyambungkan dompet kripto mereka, mengharapkan untuk menerima NFT, sebaliknya mendapati bahawa pegangan mata wang kripto Solana (SOL) mereka telah dikosongkan dan dipindahkan ke akaun penipu. Analisis yang disiarkan di Medium oleh Tim Cotten, pengasas projek permainan NFT yang lain, menganggarkan nilai SOL yang dicuri sekitar $150,000.

Fractal ialah projek permulaan daripada pengasas bersama Twitch, Justin Kan yang mengkhusus dalam pembelian dan penjualan NFT yang mewakili aset dalam permainan. Ia diumumkan lebih awal pada bulan Disember dan dengan cepat mengumpulkan lebih daripada 100,000 pengguna melalui Discord — menjadikannya sasaran untuk jenis penipu yang telah melanda projek NFT sejak awal.

Berita sampai ke Twitter apabila tweet daripada Kan memaklumkan pengikut bahawa bot pengumuman pada pelayan Discord Fractal telah digodam. Satu lagi tweet dari akaun Twitter Fractal utama mengesahkan bahawa pautan penipuan telah disiarkan melalui saluran tersebut.

Serangan itu mengambil kesempatan daripada pengguna yang berharap untuk menghasilkan NFT, istilah yang diberikan untuk membeli token pada masa ia pertama kali dicipta oleh projek tertentu, dan bukannya membelinya di pasaran sekunder pada masa akan datang.

Walaupun siaran daripada bot Discord adalah palsu, akaun Twitter rasmi Fractal telah menyiarkan tweet hanya beberapa jam lebih awal membayangkan apa yang berlaku yang akan datang: satu proses di mana projek crypto mengedarkan sejumlah token, biasanya kepada pengguna yang merupakan pengguna awal. Memandangkan permintaan untuk token mints dan airdrops selalunya sangat tinggi, tekanan untuk pengguna untuk bergerak pantas apabila pengumuman snap dibuat mewujudkan serangan dari penipu untuk mengeksploitasi.

Walaupun kriptografi di sebalik mata wang kripto dan NFT adalah sangat selamat, rangkaian tapak web dan aplikasi yang luas terdiri daripada ekosistem kripto yang lebih luas mengandungi banyak vektor yang mungkin untuk diserang.

Tweet daripada akaun Fractal rasmi mencadangkan bahawa mesej penipuan telah diposkan ke Discord melalui webhook. Webhooks ialah ciri reka bentuk aplikasi web yang membolehkan aplikasi mendengar mesej yang dihantar ke URL tertentu dan mencetuskan peristiwa sebagai tindak balas — contohnya, menyiarkan ke saluran Discord tertentu.

Jika webhook tidak dijamin dengan langkah pengesahan tambahan, dengan berkesan sesiapa sahaja yang mempunyai URL boleh membuat siaran ke saluran itu. Tidak jelas apakah, jika ada, langkah berjaga-jaga yang diambil oleh pasukan di belakang Fractal untuk mengelakkan perkara ini daripada berlaku.

Berikutan penggodaman itu, catatan blog dari Fractal mengumumkan bahawa mangsa yang kehilangan wang akan diberi pampasan sepenuhnya. Sambil memohon maaf secara ringkas, catatan blog itu juga nampaknya meletakkan beberapa tanggungjawab untuk keselamatan kepada pengikut projek itu, dengan berkata:

“Jika ada sesuatu yang tidak sesuai dalam crypto, sila jangan teruskan, walaupun pada mulanya ia kelihatan sah. Kami mesti menggunakan pertimbangan terbaik kami kerana tiada \’butang undo\’ dalam crypto.\”

Leave a Comment

Your email address will not be published. Required fields are marked *