Köpare som hoppades få en begränsad upplaga av NFT från Fractal, en ny marknadsplats för NFT:er för spelobjekt, fick en obehaglig och kostsam överraskning på tisdagsmorgonen när det avslöjades att en länk skickades via projektets officiella Discord-kanalen var en bluff som skapats för att stjäla krypto.
Användare som följde länken och kopplade sina kryptoplånböcker och förväntade sig att få en NFT, upptäckte istället att deras innehav av Solana (SOL) kryptovalutor tömdes och överfördes till bedragarens konto. En analys som publicerades på Medium av Tim Cotten, grundare av ett annat NFT-spelprojekt, uppskattade värdet på SOL som stulits till cirka 150 000 USD.
Fractal är ett startprojekt från Twitchs medgrundare Justin Kan som specialiserat sig på köp och försäljning av NFT:er som representerar tillgångar i spelet. Det tillkännagavs tidigare i december och samlade snabbt fler än 100 000 användare genom Discord – vilket gör det till ett mål för den typ av bedragare som har plågat NFT-projekt sedan starten.
Nyheter nådde Twitter när en tweet från Kan informerade följare om att meddelandeboten på Fractals Discord-server hade hackats. En annan tweet från Fractals huvudsakliga Twitter-konto bekräftade att en bedräglig länk hade lagts upp via kanalen.
Botten för meddelanden på vår @fractalwagmi discord hackades. Gå inte till någon webbadress och anslut din plånbok/gör något.
— Justin Kan ❄️ (@justinkan) 21 december 2021
Attacken utnyttjade användare som hoppades kunna prägla NFT, termen som ges för att köpa tokens i det ögonblick då de först skapas av ett givet projekt, snarare än att köpa dem på andrahandsmarknaden vid ett senare tillfälle.
Även om inlägget från Discord-boten var falskt, hade Fractals officiella Twitter-konto postat en tweet bara timmar tidigare som antydde en kommande airdrop: en process där ett kryptoprojekt distribuerar ett antal tokens, vanligtvis till användare som är tidiga användare. Eftersom efterfrågan på token mints och airdrops ofta är mycket hög, skapar trycket för användare att röra sig snabbt när snapmeddelanden görs en attackvektor som bedragare är alltför glada över att utnyttja.
Medan kryptografin bakom kryptovalutor och NFT:er är mycket säker, det stora nätverket av webbplatser och applikationer som utgör det bredare kryptoekosystemet innehåller många möjliga vektorer för attack.
En tweet från det officiella Fractal-kontot antydde att det bedrägliga meddelandet hade postats till Discord via en webhook. Webhooks är en funktion i webbapplikationsdesign som låter en applikation lyssna efter ett meddelande som skickas till en viss URL och utlösa en händelse som svar – till exempel post till en viss Discord-kanal.
Om en webhook inte är säkrad med ytterligare autentiseringsåtgärder kan i praktiken alla med URL:en skicka inlägg på kanalen. Det är inte klart vilka, om några, försiktighetsåtgärder som vidtagits av teamet bakom Fractal för att förhindra att detta händer.
I spåren av hacket meddelade ett blogginlägg från Fractal att offren som hade förlorat pengar skulle få full ersättning. Samtidigt som blogginlägget bad kort om ursäkt verkade det också lägga en del av säkerhetsbördan på anhängare av projektet, och sa:
“Om något inte känns rätt i krypto, vänligen don Fortsätt inte, även om det först ser legitimt ut. Vi måste använda vårt bästa omdöme eftersom det inte finns någon “ångra-knapp” i krypto.”
Fractal hade inte svarat på en begäran om kommentar som skickades via företagets officiella kontaktformulär vid presstillfället.