Der Discord Server des Bored Ape Yacht Club (BAYC) wurde am Samstag gehackt. Der Angreifer hat nach Angaben von Yuga Labs NFTs im Gesamtwert von 200 ETH (360.000 US-Dollar) erbeutet.
Wie konnte das passieren?
Der Hacker verwendete den Discord-Account von Boris Vagner, dem Community-Manager des Projekts. Anschließend postete der Angreifer Phishing-Links in den offiziellen Discord-Kanälen von BAYC und dem dazugehörigen Metaverse-Projekt Otherside. Die ersten Nachrichten über den Hack wurden von dem Twitter-Nutzer NFTherder gemeldet. Er schätzt, dass gemeinsam mit den NFTs 145 ETH (ca. 260.000 US-Dollar) gestohlen wurden, deren Verfolgung auf vier verschiedene Geldbörsen zurückgeht.
In einem späteren Tweet hat Yuga Labs bestätigt, dass es sich um eine Sicherheitslücke handelt. Der Vorfall wird noch immer sorgfältig untersucht. Der Tweet erschien 11 Stunden nach dem Tweet von NFTHerder. Außerdem ist Vagner der Manager seines Bruders, des Grammy-Preisträgers und Multi-Instrumentalisten Richard Vagner. Gemeinsam mit Boris hat er einen NFT-Fantasy-Football-Club namens Spoiled Banana Society (SPS) gegründet. Darüber hinaus hat der Angreifer einen Phishing-Link in den SPS-Discord-Kanal gepostet, allerdings wurde die Nachricht anschließend gelöscht, wie Richard mitteilte.
Glück gehabt!
„Hey @everyone, vor einer Stunde wurden wir gehackt und ich hoffe dass keiner auf einen Link geklickt hat“, schrieb Richard Vagner um 09:00 UTC in einer Discord-Nachricht. „Wir haben wieder die Kontrolle über den Discord und den Account von Boris, Gott sei Dank wurde nicht der ganze Server gelöscht.“
Es ist unklar, ob irgendjemand im SBS-Channel betroffen war, obwohl Richard von den Discord-Mitgliedern Informationen über den Angriff angefordert hat. „In den nächsten Tagen werden wir alle Tabs wiederherstellen & lasst uns wissen, falls es noch etwas gibt, an dem er herumgefummelt hat.“
Die Vagners betreiben auch ein Plattenlabel namens Metaverse Records. Mit derselben SBS-Discord-Nachricht bestätigte Richard unabhängig davon, dass die Discords von BAYC und Otherside ebenfalls “gehackt” wurden. “pls stay safe”, schrieb er.
Dies ist bereits das dritte Mal, dass ein Angreifer in der Lage war, sich für einen von Yuga Labs betriebenen Account auszugeben, um so das Geld der Nutzer zu stehlen. Die erste Aktion fand am 1. April statt, als Mutant Ape Yacht Club #8662 durch einen Phishing-Link gestohlen wurde. Am 25. April folgte die zweite Aktion, nachdem der Bored Ape Yacht Club Instagram- und Discord-Account einen gefälschten Link zu einer Otherside-Prägung gepostet hatte. Vergangene Woche machte der Schauspieler Seth Green auf sich aufmerksam, als ihn jemand erfolgreich um seine Bored Ape betrogen hat.
Discord in der Verantwortung
Angesichts des Vorfalls vom Samstag machte ein BAYC-Gründer den Discord für die Sicherheitsmängel mitverantwortlich.
„Discord funktioniert nicht für Web 3-Communities“, sagte Gordon Goner in einem Tweet. „Wir brauchen eine bessere Plattform, bei der Sicherheit an erster Stelle steht.“ Demgegenüber machte ein anderer Krypto-Projektgründer die User selbst für die Schädigung ihrer Wallets verantwortlich.
„Sie haben Ihre NFT verloren, nur weil Sie eine schädliche Transaktion mit Ihrem Schlüssel durchgeführt haben“, schrieb Steve Fink. „Hört auf, Discord die Schuld zu geben. Ein anderer Anbieter wird euch nicht davor bewahren, dieselben Fehler zu wiederholen.“
Quelle: www.coindesk.com
