Käufer, die hofften, ein NFT in limitierter Auflage von Fractal, einem neuen Marktplatz für Spielgegenstände-NFTs, zu erhalten, erlebten am Dienstagmorgen eine unangenehme und kostspielige Überraschung, als bekannt wurde, dass ein Link über den Projektbeamten gesendet wurde Der Discord-Kanal war ein Betrug, der eingerichtet wurde, um Krypto zu stehlen.
Benutzer, die dem Link gefolgt sind und ihre Krypto-Wallets verbunden haben, in der Erwartung, eine NFT zu erhalten, stellten stattdessen fest, dass ihre Bestände an Solana (SOL) Kryptowährung geleert und auf das Konto des Betrügers überwiesen. Eine auf Medium veröffentlichte Analyse von Tim Cotten, dem Gründer eines anderen NFT-Gaming-Projekts, schätzte den Wert der gestohlenen SOL auf etwa 150.000 US-Dollar.
Fractal ist ein Startup-Projekt von Twitch-Mitbegründer Justin Kan, das sich auf den Kauf und Verkauf von NFTs spezialisiert hat, die In-Game-Assets darstellen. Es wurde Anfang Dezember angekündigt und hat über Discord schnell eine Anhängerschaft von mehr als 100.000 Benutzern gewonnen – was es zu einem Ziel für die Art von Betrügern macht, die NFT-Projekte von Anfang an geplagt haben.
Nachrichten erreichten Twitter, als ein Tweet von Kan die Follower darüber informierte, dass der Ankündigungsbot auf dem Discord-Server von Fractal gehackt worden war. Ein weiterer Tweet des Haupt-Twitter-Accounts von Fractal bestätigte, dass ein betrügerischer Link über den Kanal gepostet wurde.
Der Ankündigungsbot auf unserem @fractalwagmi Discord wurde gehackt. Gehe nicht auf irgendeine URL und verbinde deine Brieftasche/Minze.
— Justin Kan ❄️ (@justinkan) 21. Dezember 2021
Der Angriff nutzte Benutzer aus, die hofften, NFTs zu prägen, die Bezeichnung für den Kauf von Token in dem Moment, in dem sie von einem bestimmten Projekt zum ersten Mal erstellt werden, anstatt sie zu einem späteren Zeitpunkt auf dem Sekundärmarkt zu kaufen.
Obwohl der Beitrag des Discord-Bots gefälscht war, hatte Fractals offizieller Twitter-Account nur wenige Stunden zuvor einen Tweet gepostet, der auf einen bevorstehenden Airdrop hinweist: ein Prozess, bei dem ein Krypto-Projekt eine Reihe von Token verteilt, normalerweise an Benutzer, die Early Adopters sind. Da die Nachfrage nach Token-Mints und Airdrops oft sehr hoch ist, schafft der Druck auf die Benutzer, bei Snap-Ankündigungen schnell zu handeln, einen Angriffsvektor, den Betrüger nur allzu gerne ausnutzen.
Während Die Kryptographie hinter Kryptowährungen und NFTs ist hochsicher, das riesige Netzwerk von Websites und Anwendungen, das das breitere Krypto-Ökosystem umfasst, enthält viele mögliche Angriffsvektoren.
Ein Tweet des offiziellen Fractal-Kontos deutete darauf hin, dass die betrügerische Nachricht über einen Webhook an Discord gesendet wurde. Webhooks sind eine Funktion des Webanwendungsdesigns, die es einer Anwendung ermöglicht, auf eine an eine bestimmte URL gesendete Nachricht zu hören und als Reaktion ein Ereignis auszulösen – zum Beispiel das Posten in einem bestimmten Discord-Kanal.
Wenn ein Webhook nicht mit zusätzlichen Authentifizierungsmaßnahmen gesichert ist, kann praktisch jeder mit der URL auf dem Kanal posten. Es ist nicht klar, welche Vorkehrungen das Team hinter Fractal gegebenenfalls getroffen hat, um dies zu verhindern.
Nach dem Hack gab ein Blog-Post von Fractal bekannt, dass Opfer wer Geld verloren hatte, würde voll entschädigt. Während er sich kurz entschuldigte, schien der Blogpost auch einen Teil der Sicherheitslast auf die Anhänger des Projekts zu übertragen, indem er sagte:
„Wenn sich etwas in Krypto nicht richtig anfühlt, tun Sie es bitte nicht fortfahren, auch wenn es auf den ersten Blick legitim aussieht. Wir müssen unser bestes Urteilsvermögen anwenden, da es in Krypto keine „Rückgängig-Schaltfläche“ gibt.“
Fractal hatte zum Zeitpunkt der Drucklegung nicht auf eine Anfrage nach Kommentaren geantwortet, die über das offizielle Kontaktformular des Unternehmens gesendet wurde.