En hacker har stjålet NFT'er til en værdi af millioner af dollars efter at have kompromitteret den officielle Instagram-konto for Bored Ape Yacht Club (BAYC) og brugt den til at poste et phishing-link, der overførte tokens ud af brugernes krypto-punge.< /p>
Hacket blev afsløret på Twitter af BAYC lige før kl. 10 ET mandag morgen. “Der er ingen mynte i gang i dag,” lød tweetet. “Det ser ud til, at BAYC Instagram er blevet hacket.”
Der er ingen udmøntning i gang i dag. Det ser ud til, at BAYC Instagram blev hacket. Undlad at præge noget, klikke på links eller linke din tegnebog til noget som helst.
— Bored Ape Yacht Club (@BoredApeYC) 25. april 2022
En anden tweet fra en bruger uden tilknytning til projektet hævdede at vise billedet, der var blevet sendt fra BAYC-kontoen, der promoverede en “airdrop” – i det væsentlige en gratis token giveaway – for alle brugere, der tilsluttede deres MetaMask-punge.
Desværre kom BAYCs advarsel for sent for en række indehavere af de ekstremt dyre Bored Ape NFT'er, sammen med mange andre værdifulde NFT'er stjålet i hacket. Et skærmbillede postet af en Twitter-bruger viste en OpenSea-side for hackerens konto, der modtog mere end et dusin NFT'er fra Bored Ape-, Mutant Ape- og Bored Ape Kennel Club-projekterne – alle formodentlig taget fra brugere, der tilsluttede deres tegnebøger efter at have klikket på phishing. link.
Profilsiden knyttet til hackerens tegnebogsadresse var ikke længere synlig på OpenSea på tidspunktet for offentliggørelsen. OpenSea kommunikationschef Allie Mack bekræftede over for The Verge, at hackerens konto var blevet forbudt på platformen, da OpenSeas servicevilkår forbød svigagtig at skaffe varer eller på anden måde tage dem uden tilladelse.
Men givet NFT's decentraliserede karakter kan indholdet af hackerens tegnebog stadig ses på andre platforme. Set gennem NFT-platformen Rarible indeholdt pungen 134 NFT'er, blandt dem fire Bored Apes og mange andre genstande fra projekter lavet af Yuga Labs – skaberne af BAYC – såsom Mutant Apes og Bored Ape Kennel Club.
Uafhængigt af hinanden er hver af de stjålne aber værd godt i seks cifre baseret på den seneste salgspris. Den laveste Ape, #7203, blev sidst solgt for fire måneder siden for 47,9 ETH – svarende til $138.000 til den aktuelle børspris. Ape #6778 blev sidst solgt for 88,88 ETH ($256.200), mens Ape #6178 blev solgt for 90 ETH eller $259.400. Og Bored Ape #6623 var den mest værdifulde af alle, solgt for tre måneder siden for 123 ETH ($354.500) – hvilket betyder, at den samlede værdi af de fire stjålne aber tilsammen er lidt over $1 million.
Det vides endnu ikke, hvordan hackeren var i stand til at kompromittere projektets Instagram-konto. I en erklæring sendt til The Verge via e-mail og også postet på Twitter sagde Yuga Labs, at to-faktor-godkendelse var aktiveret på tidspunktet for angrebet, og at sikkerheden på Instagram-kontoen fulgte bedste praksis. Yuga Labs sagde også, at teamet aktivt arbejdede på at etablere kontakt med berørte brugere.
Selvom NFT'er kan købes og sælges for enorme summer, holdes de ofte i smartphone-punge snarere end mere sikre miljøer, fordi den populære decentraliserede kryptopung-applikation MetaMask kun understøtter NFT-visning på mobil. Det opfordrer også brugere til at administrere NFT'er gennem smartphone-appen i stedet for den browserbaserede udvidelse. Det betyder, at brugen af Instagram til at levere et phishing-link er en effektiv måde at stjæle NFT'er på, da phishing-linket er mere tilbøjeligt til at blive interageret med fra en mobil tegnebog.
Mens sikkerhed råd på kryptoområdet antyder, at NFT-indehavere aldrig forbinder deres tegnebog til en ukendt eller upålidelig tredjepart. Det faktum, at phishing-linket blev sendt gennem den officielle BAYC sociale mediekonto overbeviste sandsynligvis ofrene om, at det var legitimt, hvilket rejste vanskelige spørgsmål om, hvor præcist fejlen ligger.
Yuga Labs svarede ikke på en e-mail fra The Verge, der spurgte, om ofre for hacket ville blive kompenseret af projektet for deres tab.