Редкая фишинговая атака на Discord компании Bears позволила получить 800 тысяч долларов в виде НФТ

Недавно запущенный проект неиграбельных токенов (НФТ) «Rare Bears» подвергся атаке после того, как хакер разместил фишинговую ссылку в канале Discord проекта, украв почти $800 000 в НФТ.

Анализ, проведенный компанией Peckshield, специализирующейся на безопасности блокчейна, показал, что злоумышленник смог украсть 179 NFT, включая «Rare Bears» и другие NFT из различных коллекций, включая «CloneX», «Azuki», «mfer» от художника sartoshi, а также шесть токенов LAND, используемых для метаверсии The Sandbox.

Согласно анализу цепочки, большинство NFT были проданы, что принесло хакеру 286 Ether (ETH) на сумму более $795 500, большая часть которых была быстро выведена через Tornado Cash, криптомикшер, используемый для сокрытия источника средств.

За последние месяцы в Discord произошла целая серия подобных фишинговых афер, что говорит о том, что некоторым командам необходимо более тщательно подходить к вопросу безопасности учетных записей администраторов. Ранее сегодня команда «Редкие медведи» сообщила, что наняла консультанта по безопасности и аудитора Pandez для проведения полного аудита безопасности в Discord.

Как произошла атака

Согласно обновлению, опубликованному командой «Редких медведей», хакер получил доступ к учетной записи модератора Rare Bears Discord под ником Zhodan и разместил на канале группы объявление о том, что проводится новый минт NFT.

Разумеется, это была подделка, фишинговая ссылка, предназначенная для кражи средств из кошелька «пользователя».

Предупреждение @BearsRare

Discord, к сожалению, был взломан. Пожалуйста, НЕ переходите по ссылкам, подключите свой кошелек и заблокируйте все входящие DM в нашем Discord. Наша команда работает над ситуацией в данный момент.

— Rare Bears (@BearsRare) 17 марта 2022 г.

В результате проверки безопасности выяснилось, что аккаунт Discord главы проекта был взломан. Злоумышленник, используя взломанный аккаунт, забанил других участников или удалил их роли с сервера, тем самым лишив их возможности удалить размещенную фишинговую ссылку.

Затем злоумышленник пригласил бота, который заблокировал все каналы на сервере, лишив других участников возможности публично сообщить о том, что сообщения и ссылки были поддельными.

Компания «Rare Bears» сообщила, что команде удалось восстановить контроль над сервером, удалив взломанную учетную запись и передав права собственности новой, и что сервер защищен от новой атаки.

В беседе с Cointelegraph консультант по безопасности Пандез сказал, что пользователи должны обращать внимание на несколько ключевых признаков, которые могут означать, что сообщение является мошенничеством.

«Почти ни один серьезный проект никогда не будет проводить стелс-майнинг», — сказал Пандез. «Никогда не переходите по ссылкам, которые появляются подобным образом».

По словам Пандеза, другие тревожные сигналы — если каналы заблокированы во время «сброса» новой коллекции NFT, если ссылка отличается от тех, которыми проект делится в Твиттере или других официальных источниках, и если ссылка постоянно публикуется в канале.

В прошлом атаки подобного характера происходили на Discord. В декабре проект Solana NFT «Monkey Kingdom» объявил, что хакеры похитили 1,3 миллиона долларов из криптовалютных средств сообщества после нарушения безопасности. Злоумышленники также разместили фишинговую ссылку, которая вывела средства из кошельков пользователей.

В ноябре прошлого года участники Discord популярного NFT-исполнителя Beeple также подверглись мошенничеству: злоумышленники получили доступ к учетной записи модератора, чтобы разместить фишинговую ссылку, аналогичным образом опустошив средства пользователей.