Фишинговая атака на Rare Bears Discord похитили 800 тысяч долларов в NFT

Недавно запущенный невзаимозаменяемый токен (проект NFT) «Rare Bears» подвергся атаке после того, как хакер разместил фишинговую ссылку на канале проекта в Discord, похитив почти 800 000 долларов в NFT.

Анализ, проведенный фирмой Peckshield, занимающейся безопасностью блокчейна, показал, что злоумышленник смог украсть 179 NFT, включая «Rare Bears» и другие NFT из различных коллекций, включая «CloneX», «Azuki», «mfer» от художника Сартоши и шесть токенов LAND, используемых для Метавселенная Песочницы.

Согласно внутрисетевому анализу, большая часть NFT была продана , в результате чего хакеру удалось получить 286 эфиров ( ETH ) на сумму более 795 500 долларов США, большая часть из которых была незамедлительно переведена через Tornado Cash, криптомиксер, используемый для сокрытия источника средств.

Набор похожих фишинговых атакпроизошло в последние месяцы в Discord, что говорит о том, что некоторым командам необходимо более внимательно относиться к безопасности учетных записей администраторов. Ранее сегодня команда «Rare Bears» сообщила, что они наняли консультанта по безопасности и аудитора Пандеса для полного аудита безопасности своего Discord.

Как произошло нападение

Согласно обновлению, опубликованному командой «Rare Bears», хакер получил доступ к учетной записи модератора Rare Bears Discord, известного как Жодан, разместив объявление на канале группы о том, что происходит новая чеканка NFT.

Разумеется, это был фейк, поскольку фишинговая ссылка предназначалась для кражи средств из кошелька пользователя.

Предупреждение @BearsRare
Discord, к сожалению, был скомпрометирован. Пожалуйста, НЕ нажимайте на какие-либо ссылки, подключите свой кошелек и заблокируйте все входящие DM в нашем разногласии. Наша команда работает над ситуацией, пока мы говорим

— Редкие медведи (@BearsRare) 17 марта 2022 г.
Обновление аудита безопасности показало, что учетная запись руководителя проекта в Discord была скомпрометирована. Злоумышленник, используя скомпрометированную учетную запись, затем заблокировал других участников или удалил их роли с сервера, тем самым лишив их возможности удалить опубликованную фишинговую ссылку.

Затем злоумышленник пригласил бота, который заблокировал все каналы на сервере, лишив других возможности публично сообщать о том, что сообщения и ссылки были фальшивыми.

«Rare Bears» заявили, что команда смогла восстановить контроль над сервером, удалив скомпрометированную учетную запись и передав право собственности на новую, и что сервер защищен от новой атаки.

В беседе с Cointelegraph консультант по безопасности Пандес сказал, что пользователи должны обращать внимание на несколько ключевых признаков, которые могут означать, что сообщение является мошенничеством.

«Почти ни в одном серьезном проекте никогда не будет стелс-монетного двора», — сказал Пандес. «Никогда не нажимайте на ссылки, которые выглядят так».

Пандес сказал, что другие красные флажки связаны с тем, что каналы заблокированы во время «сброса» новой коллекции NFT, если ссылка отличается от той, которой делятся в Твиттере или других официальных источниках проекта, и если ссылка постоянно публикуется на канале.

Прошлые атаки подобного характера происходили в Discord. В декабре проект Solana NFT «Monkey Kingdom» объявил, что хакеры украли 1,3 миллиона долларов криптовалютных средств сообщества после нарушения безопасности. Там же злоумышленники разместили фишинговую ссылку, которая опустошала кошельки пользователей.

В ноябре прошлого года участники Discord популярного NFT-исполнителя Beeple также подверглись мошенничеству: злоумышленники получили доступ к учетной записи модератора, чтобы опубликовать фишинговую ссылку, что аналогичным образом истощило средства пользователей.