Lorsqu'une icône de la culture pop comme Ozzy Osbourne annonce une collection NFT, vous pouvez compter sur la publicité du projet. Le lancement de la collection “CryptoBatz”, une série de 9 666 chauves-souris numériques, a été couverte par des médias tels que Billboard, Rolling Stone, NME, Hypebeast et Business Insider, entre autres.
Mais deux jours seulement après la frappe des jetons, les supporters sont ciblés par une escroquerie par hameçonnage qui draine la crypto-monnaie de leurs portefeuilles, jouant sur un mauvais lien partagé par le compte Twitter officiel du projet.
Comme la majorité des projets NFT, CryptoBatz utilise Discord comme lieu d'organisation de sa communauté. Le CryptoBatz Discord officiel est désormais accessible via le lien court discord.gg/cryptobatz. Mais auparavant, le projet utilisait une URL personnalisée légèrement différente sur discord.gg/cryptobatznft.
Lorsque le projet est passé à la nouvelle URL, les escrocs ont configuré un faux serveur Discord sur l'ancien. . Mais ni CryptoBatz ni Ozzy Osbourne n'ont pris la précaution de supprimer les tweets faisant référence à l'URL précédente, ce qui signifie que les anciens tweets d'Osbourne lui-même ont été laissés diriger les abonnés vers un serveur désormais contrôlé par des escrocs.
:no_upscale()/cdn.vox-cdn.com /uploads/chorus_asset/file/23185024/Osbourne_tweet.png "Le projet NFT d'Ozzy Osbourne a partagé un lien frauduleux et les abonnés ont perdu des milliers de dollars")
Un tweet de CryptoBatz, publié le 31 décembre 2021, a reçu plus de 4 000 retweets et des centaines de réponses. Le tweet n'a été supprimé que le 21 janvier après que CryptoBatz a été contacté par The Verge.
:no_upscale()/cdn.vox-cdn.com /uploads/chorus_asset/file/23185029/cryptobatz_tweet.png "Le projet NFT d'Ozzy Osbourne a partagé un lien frauduleux et les abonnés ont perdu des milliers de dollars")
En cliquant sur le lien frauduleux, l'invitation panneau pour le faux Discord a montré que le nombre total de membres était de 1 330, une indication du nombre de personnes qui auraient pu être dupées par l'arnaque.
À l'intérieur du serveur, un service de gestion de communauté d'usurpation de bot Collab Land a demandé aux utilisateurs de vérifier leurs actifs cryptographiques pour participer au serveur, mais a dirigé les utilisateurs vers un site de phishing où ils ont été invités à connecter leurs portefeuilles de crypto-monnaie.
Un représentant de Collab Land a refusé de commenter.
:no_upscale()/cdn.vox-cdn.com/uploads /chorus_asset/file/23185140/scam_bot.png "Le projet NFT d'Ozzy Osbourne a partagé un lien frauduleux et les abonnés ont perdu des milliers de dollars")
Tim Silman, un employé à but non lucratif, est une personne qui a perdu de l'argent à cause de l'escroquerie. Silman estime qu'environ 300 à 400 $ en ETH ont été prélevés de son portefeuille après avoir visité le faux serveur Discord via un lien publié sur le site Web CryptoBatz.
“J'ai vu au moins un une douzaine de personnes sur Twitter exprimant ce même problème », a déclaré Silman à The Verge. “Si vous regardez les transactions sur Etherscan, d'autres ont perdu beaucoup plus que moi.”
Une adresse de portefeuille Ethereum indiquée par Silman comme étant liée aux escrocs avait reçu une série de transactions entrantes totalisant 14,6 ETH (40 895 $) le 20 janvier et l'avait envoyée à un portefeuille contenant plus de 150 000 $.
Le projet a mis du temps à supprimer les mauvais liens, même lorsqu'il était informé, a déclaré Silman.
“Je les ai tagués plusieurs fois dans divers tweets, comme quelques autres personnes, mais pas de réponse », a-t-il déclaré. “C'est une leçon coûteuse, je suppose.”
Même si le faux lien est resté présent dans un tweet bien en vue, le projet CryptoBatz a continué à faire la promotion de la menthe publique. Au 21 janvier, les NFT CryptoBatz étaient revendus sur OpenSea pour environ 1,8 ETH (5 046 $).
“C'est une leçon coûteuse, je suppose”
Lorsqu'on leur a demandé si le projet devait accepter la responsabilité de laisser l'ancien lien en ligne, Sutter Systems, les développeurs du CryptoBatz NFT, ont carrément blâmé Discord pour l'escroquerie. Dans une déclaration par e-mail à The Verge, le co-fondateur de Sutter Systems “Jepeggi” a souligné que le compromis n'était possible qu'en raison de la configuration et de la maintenance faciles de l'instance frauduleuse de Discord.
“Bien que nous sommes vraiment désolés pour les personnes qui ont été la proie de ces escroqueries, nous ne pouvons pas assumer la responsabilité des actions des escrocs exploitant Discord – une plate-forme sur laquelle nous n'avons absolument aucun contrôle », a déclaré Jepeggi. “À notre avis, cette situation et des centaines d'autres qui se sont produites dans d'autres projets dans l'espace NFT auraient pu être facilement évitées si Discord avait simplement mis en place une meilleure équipe de réponse/support/fraude pour aider de grands projets comme le nôtre.”
Discord a déclaré être au courant de l'incident et en contact avec l'équipe concernée.
« Notre confiance & ; L'équipe de sécurité est en contact avec les propriétaires de serveurs et enquête sur l'incident », a déclaré Peter Day, directeur principal des communications d'entreprise chez Discord. “Notre équipe prend des mesures lorsque nous prenons connaissance d'attaques comme celle-ci, notamment en bannissant des utilisateurs et en fermant des serveurs.”