3 yıl önceBir bilgisayar korsanı, Bored Ape Yacht Club koleksiyonundan 91 adet NFT çalmayı başardı. Yağmalamanın yaklaşık 3 milyon dolar olduğu tahmin ediliyor. Saldırgan, yatırımcıları kandırmak için sosyal ağın 2 faktörlü kimlik doğrulamasını atlayarak projenin resmi Instagram hesabının kontrolünü ele geçirdi.
Piyasadaki en popüler NFT koleksiyonlarından biri olan Bored Ape Yacht Club (BAYC), büyük bir hack’in kurbanı oldu. 25 Nisan 2022 Pazartesi günü Twitter’da yayınlanan bir ileti dizisinde, projenin arkasındaki şirket olan Yuga Labs, bir saldırganın Bored Ape koleksiyonundan birkaç maymun da dahil olmak üzere toplam 133 NFT’yi nasıl çalmayı başardığını açıklıyor.
Saldırının arkasındaki hacker, önce projenin resmi Instagram hesabının kontrolünü ele geçirdi. İkinci adımda, “hacker, sahte bir Airdrop ile BAYC web sitesinin bir kopyasına sahte bir bağlantı gönderdi.”
Saldırgan, internet kullanıcılarına metaverse evreninde sanal arazi sunacağına söz verdi. Hacker, hedeflerinin şüphelerini yatıştırmak için Yuga Labs tarafından açıklanan gerçek yol haritasına güvendi. Bored Ape’in yaratıcıları, MetaRPG adlı yeni bir sanal dünyada 200.000 arsa satmayı planlıyor.
Bağlantı, internet kullanıcılarını Metamask dijital cüzdanlarını bağlamaya ve bir işlemi doğrulamaya teşvik etti. Bu işlemi imzalayarak kurbanlar, bilgisayar korsanına, takas edilemeyen jetonlarını ele geçirme izni verdi. Çalınan NFT’ler dolandırıcının cüzdanına aktarıldı.
Hack sırasında çalınan Bored Ape arasında 4 Bored Ape, altı Mutant Ape, bir CloneX ve üç Bored Ape Kennel Club NFT var. Yuga Labs, ZDNet de dahil olmak üzere birçok medya tarafından aktarılan bir basın açıklamasında, çalınan NFT’lerin değerinin yaklaşık 3 milyon dolar olduğu tahmin ediliyor.
Web3 is Going Great projesinden sorumlu yazılım mühendisi Molly White’a göre, 44 İnternet kullanıcısı tuzağa düştü. Bored Ape Yacht Club koleksiyonunun yaratıcıları, mağdur kullanıcılardan kendileriyle iletişime geçmelerini istiyor:
“Saldırıdan etkilendiyseniz veya yardımcı olabilecek bilgilere sahipseniz, [email protected] ile iletişime geçin. Önce bizimle iletişime geçmelisiniz, teması başlatmayacağız.”
Yuga Labs saldırının farkına vardığında harekete geçti. Başlangıç, topluluğunu hızla uyardı, Instagram hesabına aktarılan bağlantıları kaldırdı ve hesabın kontrolünü yeniden kazanmak için her şeyi yaptı. Bored Ape’in yaratıcıları, hesapta iki faktörlü kimlik doğrulamanın etkinleştirildiğini iddia ediyor:
“Saldırı sırasında iki faktörlü kimlik doğrulama etkinleştirildi […]. Hesabın kontrolünü yeniden ele geçirdik ve bilgisayar korsanının nasıl erişim kazandığını araştırıyoruz . ”
Siber güvenlik firması MetaCert’in bilgisayar güvenliği uzmanı ve CEO’su Paul Walsh’a göre, bilgisayar korsanı “ters proxy kimlik avı saldırısına” güveniyordu. Medium’daki bir gönderide uzman, bu tür bir saldırının hem ad ve şifre gibi kimlik bilgilerinin hem de Instagram tarafından e-posta veya kısa mesajla gönderilen kimlik doğrulama kodunun elde edilmesini mümkün kıldığını açıklıyor.
“Bored Ape Yat Kulübü ekibinin bir üyesinin başına gelenin bu olduğundan şüpheleniyorum. Bu saldırıyı önlemek imkansız çünkü geleneksel ağ, bulut ve uç nokta güvenliği, her ay suçlular tarafından oluşturulan milyonlarca yeni kötü amaçlı URL’yi tespit etme gibi imkansız bir göreve dayanıyor.”
Fiili olarak bilgisayar korsanı, Web3’ten dijital varlıkları ele geçirmek için Web2 altyapısındaki bir güvenlik açığından yararlandı. Dijital varlıkların çalınmasından Blockchain ve NFT teknolojisi sorumlu değildir. Bu durumda, kusurun Web3 ile ilgisi yoktur.
Web2 servislerinin Web3 kullanıcılarını tehlikeye atması alışılmadık bir durum değildir. Nisan ayının başında Bored Ape Yacht Club’ın Discord sunucusu hacklendi. Saldırgan, Yuga Labs sunucunun kontrolünü yeniden ele geçirmeden önce oraya bir kimlik avı bağlantısı yerleştirdi. Operasyonda sadece bir NFT çalındı.
