Es ist wieder passiert. Betrüger haben im Bored Ape Yacht Club (BAYC) Universum zugeschlagen und einige Token gestohlen. Aber keine Sorge, Sie können nicht web3 dafür verantwortlich machen. Nö. Ganz und gar nicht. Die Hacker haben den guten alten Web 2.0-Trick angewandt, indem sie die Instagram-Seite des Projekts hackten und die Leute dazu verleiteten, auf unerwünschte Links zu klicken. Nachdem der BAYC-Account gehackt worden war, posteten die Angreifer eine Nachricht, in der es darum ging, mittels eines Airdrops Land im Metaverse des Projekts zu beanspruchen. Sie forderten die Leute auf, ihre MetaMask (oder eine andere gleichwertige Kryptowährungs-Brieftasche) zu verbinden, um das Land zu beanspruchen.
Es handelte sich jedoch nur um einen Trick, um NFTs zu stehlen. Auf dem BAYC-Twitter-Account wurde eine Warnung darüber gepostet, aber zu diesem Zeitpunkt waren die Hacker bereits erfolgreich in der Lage, eine Reihe von NFTs abzuschöpfen. Obwohl es schwer zu verifizieren ist, behaupteten einige Beiträge auf Twitter, dass der Angreifer in der Lage war, Hunderte von NFTs zu stehlen. Später stellte ein BAYC-Mitbegründer klar, dass vier Bored Ape-, sechs Mutant Ape- und drei Bored Ape Kennel-NFTs bei dem Phishing-Betrug gestohlen wurden. Der Gesamtwert all dieser Produkte? Nun, der wurde auf 2,4 Millionen Dollar geschätzt.
Er erwähnte auch, dass das Instagram-Konto durch eine Zwei-Faktor-Authentifizierung geschützt war, gab aber keine Einzelheiten über die Kompromittierung bekannt. Die Aktivität der Geldbörse des Hackers lässt vermuten, dass er einige der gestohlenen NFTs verschoben hat. In der Zwischenzeit haben wir Yuga Labs, den Eigentümer von BAYC, gefragt, ob sie die Inhaber für die gestohlenen Vermögenswerte entschädigen werden. Wir werden die Geschichte aktualisieren, sobald wir eine Antwort erhalten.
Jake Moore, Global Cyber Security Advisor bei ESET, sagte, dass solche Instagram-Angriffe nicht neu sind, aber der Wert der digitalen Vermögenswerte kann große Auswirkungen für die Opfer haben:
„Die Welt scheint in eine sehr merkwürdige Dynamik einzutreten, in der NFTs jetzt [eine] erpresserische Menge an Geld wert sind, aber mit diesem Anstieg des Wertes lauern zwangsläufig auch Cyberkriminelle nicht weit dahinter.
„Instagram-Angriffe sind nichts Neues, aber sie beinhalten oft ein Element des Social Engineering bei der gezielten Entwicklung von Menschen, indem sie Codes anfordern oder Nachrichten manipulieren und abfangen. Leider hat diese Übernahme jedoch enorme Folgen und führt zu einem massenhaften Raub digitaler Werte.“
Eines der prestigeträchtigsten Projekte von web3 ist nun das Ziel mehrerer Phishing-Angriffe geworden. Anfang des Monats wurde der Discord des Projekts kompromittiert. Als Yuga Labs im März ApeCoin einführte, nutzten Betrüger dies aus, hackten verifizierte Twitter-Profile und stahlen Vermögenswerte im Wert von fast einer Million Dollar von verschiedenen Opfern.
Dies zeigt, dass Cyberkriminelle nur bewährte Methoden wie Phishing verwenden müssen, um Menschen dazu zu verleiten, ihre Kryptowährungs-Wallets zu verbinden – sie müssen kein ausgeklügeltes System verwenden, um die web3-Technologie zu knacken. Hochwertige NFT-Projekte wie BAYC müssen daher zusätzliche Maßnahmen ergreifen, um den Schutz ihrer Inhaber zu gewährleisten. Wenn sie einem unaufgeforderten Phishing-Link zum Opfer gefallen sind, kann das Team allgemeine Ratschläge geben wie: „Klicken Sie nicht auf verdächtige Links“, aber das können Sie nicht tun, wenn Ihr eigenes Instagram gefälschte Links aussendet.
Der Kryptowährungsinvestor Jordan Fish – der sich auf Twitter Cobie nennt – schlug vor, dass Yuga Labs einen Verwahrungsdienst anbieten sollte, bei dem die Inhaber einen Nachweis erbringen müssen, wenn sie ihre NFT tatsächlich abheben wollen. Es ist wichtig zu beachten, dass, wenn Sie Metamask oder eine andere selbstverwahrende Geldbörse verwenden, die Last der Sicherheit auf Sie fällt. Und Leute, die die Abhebungen nicht verpassen wollen, könnten die Sicherheit in diesen Momenten übersehen.
Cobie wies darauf hin, dass wir bessere Praktiken für die Selbstverwahrung beibringen müssen, da nicht alle Nutzer so anspruchsvoll sind, dass sie ständig darauf achten. Aber das ist natürlich viel leichter gesagt als getan.