総額約280万ドルと推定される91個の非代替トークン(NFT)が盗まれた。作品は有名なBored Ape Yacht Clubコレクションの一部です。ハッカーはまずクリエイターの Instagram アカウントをハッキングして、リンクを共有しましたフィッシング。
海賊がなんとか捕まえた91 非代替トークン (NFT)のla コレクション ボアド エイプ ヨット クラブ (BAYC)。投資家の間で非常に人気のあるこのコレクションは 10,000 匹の猿の顔で構成されており、まもなく権利が与えられる予定です。彼自身のアニメーション映画三部作Coinbaseプラットフォームによって生成されます。
ハッカーの戦利品は高く評価される280万ドル。盗まれたデジタル作品の中には、Bored Ape Kennel Clubからの4匹のBored Ape、6匹のミュータントサル、3匹のNFTが見つかりました。
「BAYCのInstagramアカウントがハッキングされたようです。何も作成したり、リンクをクリックしたり、ウォレットを何かにリンクしたりしないでください。」は、今週月曜日、2022 年 4 月 25 日にプロジェクトの公式 Twitter アカウントを発表しました。インターネット ユーザーを欺くために、攻撃の背後にあるハッカーが明らかになりました。Instagramアカウントを乗っ取ったコレクションの。
アカウントをハッキングした後、攻撃者は、Bored Ape Yacht Club がファンに仮想土地を提供するつもりであることを保証する投稿を公開しました。このハッカーは、実際のプロジェクトのロードマップに見合った報酬を約束するほど賢明でした。 BAYC の作成者は実際に、仮想の場所や商品を含むメタバースでのゲームを開発しています。
出版物に含まれていたのは、フィッシングリンク。このリンクをクリックすると、インターネット ユーザーは、保有する NFT と暗号通貨を保存するメタマスク デジタル ウォレットに接続するよう招待されます。利益の誘惑に惹かれた多くのユーザーは、何も考えずにウォレットに接続し、要求されたトランザクションを承認しました。
「ハッカーは、偽の Airdrop を含む BAYC Web サイトのコピーへの不正なリンクを投稿し、そこでユーザーは取引への署名を求められました。」、コレクションのTwitterアカウントについて説明します。
ここは海賊が目的を達成した場所です。彼はBAYC投資家のウォレットに保管されていたNFTを自分のウォレットに移しました。「ハッキングを発見した直後、私たちはコミュニティに警告し、侵害されたInstagramアカウントへのリンクをプラットフォームから削除し、アカウントの回復を試みました。」、作成者に下線を引きます。制作者が即座に警告を発したにもかかわらず、多くのインターネットユーザーが強盗に遭った攻撃中。
こちらもお読みください:悪意のある NFT はすべての暗号通貨を盗む可能性があるので注意してください
ハッカーがインスタグラムの二要素認証を回避
コレクションの作成者は、Bored Ape Yacht Club Instagram アカウントが安全であることを確認しています。二重要素認証。このセキュリティでは通常、SMS または電子メールで送信されたコードを伴うパスワードという 2 つの異なる情報によってユーザーの身元の信頼性を保証できます。
「二要素認証が有効になっており、インスタグラムアカウントのセキュリティは最適でした。私たちはアカウントの制御を取り戻し、ハッカーがどのようにしてアクセスを獲得したかを調査しています。」、コレクションの担当者の詳細を示します。今のところ、ハッカーがどのようにして Instagram アカウントを制御することができたのかは完全に謎のままです。
コンピュータ セキュリティの専門家であり、MetaCert 社の CEO である Paul Walsh 氏にとって、攻撃者は次のように述べています。「リバースプロキシフィッシング攻撃」。このような操作では、ハッカーは「資格情報やパスワードなどの機密情報」を収集します。Instagram から SMS または電子メールで送信されたコードも同様です。
その後、少しの困難もなくアカウントにログインできます。「リバース プロキシは、Web サイトが要求されたときに 2FA トークンも収集します。その後、攻撃者はこれらの 2FA トークンをリアルタイムで収集し、被害者のアカウントにアクセスできます。と専門家は説明し、BAYCチームのメンバーの1人がこの種の攻撃の標的になったことを確認した。
詐欺師は今回が初めてではない通信チャネルをハッキングするBored Ape Yacht ClubからNFTを盗むために。 4月初旬、コレクションのDiscordサーバーがハッキングされた。 BAYCチームが行動を起こす前に、犯人はブロックチェーン上で認証されたデジタル著作物を1つだけ押収することができた。
