在安全研究人员于 Twitter 上曝出漏洞 11 小时后,“无聊猿”NFT 背后的 Yuga Labs 公司终于证实,其 Discord 服务器于周六遭到了黑客攻击、并导致价值 200 ETH(约 36 万美元)的 NFT 被盗。CoinDesk 指出,事件源于社区经理 Boris Vagner 的 Discord 账户被盗,之后攻击者利用该账户在官方 BAYC 及元宇宙项目中发布了钓鱼链接。
Twitter 网友 @NFTherder 率先曝光了此事,同时他预估有 145 ETH(约 26 万美元)随 NFT 一同被盗,后续追查表明被盗资金被转入了四个单独的钱包地址。
Yuga Labs 官方后来也在一条推文中证实了该漏洞的存在,并称自正在积极调查本次黑客攻击事件 —— 尽管此时距离 NFTherder 推文发布已过去整整 11 个小时。
攻击者在 Boris Vagner 与 Richard Vagner 共同创立的一个名为 Spoiled Banana Society(简称 SPS)的 NFT 梦幻足球俱乐部 Discord 频道中发布了一则钓鱼文本,但该消息与链接已在事发后被清理掉。
钓鱼链接
UTC 时间 09:00,Richard Vagner 宣称账户在一个小时前被黑客入侵,但愿没有任何人点击钓鱼链接。
不幸中的万幸是,在重新拿回 Boris 账户的控制权后,他们发现收割了一波的黑客并没有删除整个 Discord 服务器。
尽管 Richard 已要求大家主动披露,但目前尚不清楚有多少 SBS 频道成员受到本次钓鱼攻击事件的影响。
接下来几天,他们还将努力恢复被搞乱的所有标签,以及深入分析是否还有其它潜在的问题。
据悉,Vagners 还经营一家名为 Metaverse Records 的唱片公司。在同一条 SBS Discord 消息中,Richard 证实 BAYC 和 Otherside Discords 也被“黑客入侵”,并希望大家能够引以为戒。
事实上,这已经是我们最近第三次听闻类似的事件。早在 4 月 1 号,Mutant Ape Yacht Club #8662 就因为 Discord 频道里发布的钓鱼链接而被盗。
4 月 25 号的时候,BAYC 的 Instagram / Discord 账户又被黑客利用来发布指向 Otherside 铸币的虚假链接。然后上周,演员 Seth Green 也不幸成为了一名受害者。
作为对周六这起黑客攻击事件的回应,一名 BAYC 创始成员指责 Discord 的安全漏洞需要为此背锅。
Gordon Goner 在推文中写道:“Discord 并不适用于 Web 3 社区,我们需要一个将安全放在首位的更好的平台”。
即便如此,@stevefink 还是在推文中驳斥道 —— 你并不会因为使用 Discord 而丢失 NFT,真相是你用手欠点击了恶意的交易链接。在缺乏安全意识的情况下,换个客户端也无法避免你重蹈覆辙。
