91 个不可替代代币 (NFT) 被盗,总价值估计约为 280 万美元。这些作品是著名的 Bored Ape Yacht Club 系列的一部分。黑客首先入侵了创作者的 Instagram 帐户,以分享链接网络钓鱼。
一名海盗设法夺取了91 种不可替代代币 (NFT)的la collection 无聊猿游艇俱乐部 (BAYC)。该系列由 10,000 张猴脸组成,深受投资者欢迎,很快将有资格获得他自己的动画电影三部曲由Coinbase平台制作。
黑客的战利品价值约为280万美元。在被盗的数字作品中,我们发现了来自 Bored Ape Kennel Club 的 4 只 Bored Ape、六只突变猴子和 3 只 NFT。
“BAYC Instagram 帐户似乎已被黑客入侵。不要创建任何东西,不要点击链接,或者将你的钱包链接到任何东西”,于2022年4月25日星期一公布了该项目的官方Twitter账户。为了欺骗互联网用户,攻击背后的黑客显而易见控制了 Instagram 帐户的集合。
攻击该帐户后,攻击者发布了一篇帖子,保证 Bored Ape 游艇俱乐部将为其粉丝提供虚拟土地。黑客足够聪明,承诺提供符合真实项目路线图的奖励。 BAYC 的创建者确实正在开发虚拟宇宙中的游戏,其中将包括虚拟位置和商品。
该出版物包含网络钓鱼链接。通过点击此链接,互联网用户被邀请连接他们的 Metamask 数字钱包,该钱包存储他们持有的 NFT 和加密货币。受到利润的诱惑,许多用户不假思索地连接了钱包并批准了所请求的交易。
“黑客发布了一个指向 BAYC 网站副本的欺诈链接,其中包含虚假空投,要求用户签署交易”,解释该系列的 Twitter 帐户。
海盗的目的就在这里达到了。他将 BAYC 投资者钱包中持有的 NFT 转移到自己的钱包中。“发现黑客攻击后,我们立即向社区发出警报,从我们的平台上删除了受感染 Instagram 帐户的链接,并尝试恢复该帐户。”,强调创作者。尽管创作者及时发出警告,不少网民被抢在攻击期间。
黑客绕过 Instagram 的双因素身份验证
该系列的创作者确保 Bored Ape Yacht Club Instagram 帐户的安全双因素认证。这种安全性通常可以通过两种不同的信息来保证用户身份的真实性:密码以及通过短信或电子邮件发送的代码。
“双因素身份验证已启用,Instagram 帐户的安全性达到最佳状态,我们已重新获得对该帐户的控制权,并正在调查黑客如何获得访问权限。”,详细说明负责收集的人员。目前,黑客如何成功控制 Instagram 账户仍然是个谜。
对于计算机安全专家兼 MetaCert 公司首席执行官 Paul Walsh 来说,攻击者使用了“反向代理网络钓鱼攻击”。在这样的操作中,黑客收集“凭据和密码等敏感信息”以及通过 Instagram 短信或电子邮件发送的代码。
然后他就可以毫无困难地登录该帐户。“当网站出现提示时,反向代理也会收集 2FA 令牌。然后,攻击者可以实时收集这些 2FA 令牌,以访问受害者的帐户。专家解释说,确保 BAYC 团队的一名成员成为此类攻击的目标。
这已经不是第一次被骗了侵入通讯渠道从 Bored Ape 游艇俱乐部窃取 NFT。 4 月初,该集合的 Discord 服务器遭到黑客攻击。在 BAYC 团队采取行动之前,犯罪分子只成功夺取了一件在区块链上获得认证的数字作品。
