91 個不可替代代幣 (NFT) 被盜,總價值估計約 280 萬美元。這些作品是著名的 Bored Ape Yacht Club 系列的一部分。駭客首先入侵了創作者的 Instagram 帳戶,以分享鏈接網路釣魚。
一名海盜設法奪取了91 種不可取代代幣 (NFT)的la collection 無聊猿遊艇俱樂部 (BAYC)。該系列由 10,000 張猴臉組成,深受投資者歡迎,很快將有資格獲得他自己的動畫電影三部曲由Coinbase平台製作。
駭客的戰利品價值約為280萬美元。在被盜的數位作品中,我們發現了 4 隻來自 Bored Ape Kennel Club 的 Bored Ape、六隻突變猴子和 3 隻 NFT。
「BAYC Instagram 帳戶似乎已被駭客入侵。不要創建任何東西,不要點擊鏈接,或將你的錢包鏈接到任何東西”,於2022年4月25日星期一公佈了該項目的官方Twitter帳戶。控制了 Instagram 帳戶的集合。
攻擊該帳戶後,攻擊者發布了一篇帖子,保證 Bored Ape 遊艇俱樂部將為其粉絲提供虛擬土地。駭客夠聰明,承諾提供符合真實專案路線圖的獎勵。 BAYC 的創建者確實正在開發虛擬宇宙中的遊戲,其中將包括虛擬位置和商品。
該出版品包含網路釣魚連結。透過點擊此鏈接,互聯網用戶被邀請連接他們的 Metamask 數位錢包,該錢包存儲他們持有的 NFT 和加密貨幣。受到利潤的誘惑,許多用戶不假思索地連接了錢包並批准了所請求的交易。
“駭客發布了一個指向 BAYC 網站副本的欺詐鏈接,其中包含虛假空投,要求用戶簽署交易”,解釋該系列的 Twitter 帳戶。
海盜的目的就在這裡達到了。他將 BAYC 投資者錢包中持有的 NFT 轉移到自己的錢包。“發現駭客攻擊後,我們立即向社區發出警報,從我們的平台上刪除了受感染 Instagram 帳戶的鏈接,並嘗試恢復該帳戶。”,強調創作者。儘管創作者及時發出警告,不少網友被搶在攻擊期間。
駭客繞過 Instagram 的雙重認證
該系列的創作者確保 Bored Ape Yacht Club Instagram 帳戶的安全雙因素認證。這種安全性通常可以透過兩種不同的資訊來確保使用者身分的真實性:密碼以及透過簡訊或電子郵件發送的代碼。
“雙重身份驗證已啟用,Instagram 帳戶的安全性達到最佳狀態,我們已重新獲得對該帳戶的控制權,並正在調查黑客如何獲得訪問權限。”,詳細說明負責收集的人員。目前,駭客如何成功控制 Instagram 帳戶仍然是個謎。
對於電腦安全專家兼 MetaCert 公司執行長 Paul Walsh 來說,攻擊者使用了「反向代理網路釣魚攻擊」。在這樣的操作中,駭客收集“憑證和密碼等敏感資訊”以及透過 Instagram 簡訊或電子郵件發送的代碼。
然後他就可以毫無困難地登入該帳戶。「當網站出現提示時,反向代理也會收集 2FA 令牌。然後,攻擊者可以即時收集這些 2FA 令牌,以存取受害者的帳戶。專家解釋說,確保 BAYC 團隊的一名成員成為此類攻擊的目標。
這已經不是第一次被騙了侵入通訊管道從 Bored Ape 遊艇俱樂部竊取 NFT。 4 月初,該集合的 Discord 伺服器遭到駭客攻擊。在 BAYC 團隊採取行動之前,犯罪分子只成功奪取了一件在區塊鏈上獲得認證的數位作品。
