Købere, der håbede på at få en begrænset udgave af NFT fra Fractal, en ny markedsplads for NFT'er til spil, fik en ubehagelig og dyr overraskelse tirsdag morgen, da det blev afsløret, at et link blev sendt gennem projektets officielle Discord-kanalen var et fupnummer, der var oprettet for at stjæle krypto.
Brugere, der fulgte linket og tilsluttede deres kryptotegnebøger, og forventede at modtage en NFT, fandt i stedet ud af, at deres besiddelser af Solana (SOL) cryptocurrency blev tømt og overført til svindlerens konto. En analyse udsendt på Medium af Tim Cotten, grundlægger af et andet NFT-spilprojekt, anslog værdien af SOL stjålet til at være omkring $150.000.
Fractal er et startup-projekt fra Twitch-medstifter Justin Kan med speciale i køb og salg af NFT'er, der repræsenterer aktiver i spillet. Det blev annonceret tidligere i december og fik hurtigt flere end 100.000 brugere gennem Discord – hvilket gør det til et mål for den slags svindlere, der har plaget NFT-projekter siden begyndelsen.
Nyheder nåede Twitter, da et tweet fra Kan informerede følgere om, at meddelelsesboten på Fractals Discord-server var blevet hacket. Et andet tweet fra den primære Fractal Twitter-konto bekræftede, at et svigagtigt link var blevet sendt gennem kanalen.
Annonceringsboten på vores @fractalwagmi discord blev hacket. Gå ikke til nogen url og tilslut din pung/mint noget.
— Justin Kan ❄️ (@justinkan) 21. december 2021
Angrebet udnyttede, at brugere håbede på at præge NFT'er, betegnelsen for at købe tokens i det øjeblik, hvor de først oprettes af et givet projekt, i stedet for at købe dem på det sekundære marked på et senere tidspunkt.
Selvom indlægget fra Discord-botten var falsk, havde Fractals officielle Twitter-konto sendt et tweet kun få timer tidligere med antydning af en kommende airdrop: en proces, hvor et kryptoprojekt distribuerer en række tokens, normalt til brugere, der er tidlige adoptere. Da efterspørgslen efter token mints og airdrops ofte er meget høj, skaber presset for brugere til at bevæge sig hurtigt, når der kommer snapmeddelelser, en angrebsvektor, som svindlere er alt for glade for at udnytte.
Mens kryptografien bag kryptovalutaer og NFT'er er yderst sikker, det store netværk af websteder og applikationer, der omfatter det bredere kryptoøkosystem, indeholder mange mulige vektorer til angreb.
Et tweet fra den officielle Fractal-konto antydede, at den svigagtige besked var blevet sendt til Discord via en webhook. Webhooks er en funktion af webapplikationsdesign, der lader en applikation lytte efter en besked, der sendes til en bestemt URL og udløse en hændelse som svar – for eksempel post til en bestemt Discord-kanal.
Hvis en webhook ikke er sikret med yderligere godkendelsesforanstaltninger, kan alle med URL'en i praksis sende indlæg til kanalen. Det er ikke klart, hvilke, om nogen, forholdsregler, der blev taget af holdet bag Fractal for at forhindre dette i at ske.
I kølvandet på hacket annoncerede et blogindlæg fra Fractal, at ofrene som havde tabt penge ville få fuld erstatning. Mens man undskylder kort, så blogindlægget også ud til at lægge noget af sikkerhedsbyrden på tilhængere af projektet, idet den sagde:
“Hvis noget ikke føles rigtigt i krypto, så lad være med at ikke fortsætte, selvom det i første omgang ser lovligt ud. Vi skal bruge vores bedste dømmekraft, da der ikke er nogen 'fortryd-knap' i krypto.”
Fractal havde ikke reageret på en anmodning om kommentar sendt gennem virksomhedens officielle kontaktformular på pressetidspunktet.