Dự án NFT mới ra mắt gần đây, Rare Bears, đã bị tấn công, sau khi một hacker đăng một liên kết lừa đảo trong kênh Discord của dự án, đánh cắp gần 800.000 đô la trong NFT.
Phân tích từ công ty bảo mật blockchain Peckshield đã nêu chi tiết rằng kẻ tấn công có thể đánh cắp 179 NFT, bao gồm Rare Bears và các NFT khác từ các bộ sưu tập khác nhau, bao gồm CloneX, Azuki, một “mfer” từ nghệ sĩ sartoshi và 6 token LAND được sử dụng cho siêu thị The Sandbox.
Theo phân tích on-chain, hầu hết các NFT đã được bán, thu được 286 ETH của hacker, trị giá hơn 795.500 đô la, hầu hết trong số đó đã được chuyển lập tức sang nền tảng Tornado Cash để rửa tiền, Tornado Cash là một máy trộn tiền điện tử được sử dụng để làm xáo trộn nguồn tiền.
Một loạt các trò gian lận lừa đảo tương tự đã xảy ra trong những tháng gần đây trên Discord, cho thấy một số nhóm cần xem xét cẩn thận hơn về bảo mật trên tài khoản quản trị viên. Đầu ngày hôm nay, nhóm Rare Bears đã đăng tải rằng họ đã thuê nhà tư vấn bảo mật và kiểm toán viên “Pandez” để kiểm tra bảo mật toàn bộ Discord của họ.
Làm thế nào cuộc tấn công xảy ra
Theo một bản cập nhật được đăng bởi nhóm Rare Bears, tin tặc đã giành được quyền truy cập vào tài khoản của người điều hành Rare Bears trong Discord được gọi là “Zhodan”, đăng thông báo trong kênh của nhóm rằng một đợt chế tạo NFT mới đang diễn ra.
Tất nhiên, đó là hàng giả – một liên kết lừa đảo được thiết kế để lấy cắp tiền từ ví của người dùng.
🚨 Warning 🚨@BearsRare
Discord has unfortunately been compromised. Please DO NOT click any links, connect your wallet and block all incoming DMs in our discord. Our team are working on the situation as we speak 🙏🏼— Rare Bears vs Mare Bears (@BearsRare) March 17, 2022
Bản cập nhật từ cuộc kiểm tra bảo mật cho thấy tài khoản Discord của người đứng đầu dự án đã bị xâm phạm. Kẻ tấn công, sử dụng tài khoản bị xâm phạm, sau đó cấm các thành viên khác hoặc xóa vai trò của họ khỏi máy chủ, do đó loại bỏ khả năng xóa liên kết lừa đảo đã đăng của họ.
Sau đó, kẻ tấn công đã mời một bot khóa tất cả các kênh trên máy chủ, loại bỏ khả năng cho những người khác thông báo công khai rằng các bài đăng và liên kết là giả mạo.
Rare Bears cho biết nhóm đã có thể giành lại quyền kiểm soát máy chủ, xóa tài khoản bị xâm phạm và chuyển quyền sở hữu sang tài khoản mới, đồng thời máy chủ được bảo mật trước một cuộc tấn công khác.
Nhà tư vấn bảo mật Pandez nói rằng người dùng nên để ý một vài dấu hiệu chính có thể cho thấy một tin nhắn là lừa đảo.
Pandez nói: “Hầu như không có dự án nghiêm túc nào thực hiện một cách lén lút”, “đừng bao giờ nhấp vào bất kỳ liên kết nào xuất hiện như thế này”.
Pandez cho biết các dấu hiệu đỏ khác là nếu các kênh bị khóa trong quá trình “thả” bộ sưu tập NFT mới, nếu liên kết khác với liên kết được chia sẻ trên Twitter hoặc các nguồn chính thức khác của dự án và nếu liên kết được đăng liên tục trong kênh.
Các cuộc tấn công có tính chất tương tự trong quá khứ đã xảy ra trên Discord. Vào tháng 12, dự án Monkey Kingdom của Solana NFT đã thông báo rằng hacker đã kiếm được 1,3 triệu đô la từ quỹ tiền điện tử của cộng đồng sau một vi phạm bảo mật. Những kẻ tấn công ở đó cũng đăng một liên kết lừa đảo làm cạn kiệt ví của người dùng.
Tháng 11 năm ngoái, các thành viên của Discord của nghệ sĩ NFT nổi tiếng Beeple cũng bị lừa đảo, với những kẻ tấn công giành được quyền truy cập vào tài khoản của người kiểm duyệt để đăng liên kết lừa đảo, tương tự như vậy sẽ rút tiền của người dùng.