Un groupe de Bored Apes a encore été volé, mais ne blâmez pas Web3 pour cela

C’est encore arrivé. Les escrocs ont frappé l’univers du Bored Ape Yacht Club (BAYC) et ont volé des jetons. Mais ne vous inquiétez pas, vous ne pouvez pas blâmer Web3 pour cela. Non. Pas du tout.

Les pirates ont utilisé la bonne vieille astuce du Web 2.0 pour pirater l’Instagram du projet et inciter les gens à cliquer sur des liens non sollicités.

Voici ce qui s’est passé : après le piratage du compte de BAYC, les attaquants ont publié un message concernant la revendication de terres sur le métaverse du projet via un parachutage. Il a demandé aux gens de connecter leur MetaMask (ou tout autre portefeuille de crypto-monnaie équivalent), pour revendiquer le terrain.

c’est ce que le lien a montré pour ceux qui se demandent pic.twitter.com/noG3TCniXQ

— jatuur (@jatuur) 25 avril 2022

Cependant, ce n’était qu’une astuce pour voler des NFT. Le compte Twitter de BAYC a publié un avertissement à ce sujet, mais, à ce moment-là, les pirates ont réussi à siphonner un certain nombre de NFT.

🚨Il n’y a pas de menthe en cours aujourd’hui. Il semble que BAYC Instagram ait été piraté. Ne rien frapper, cliquer sur des liens ou lier votre portefeuille à quoi que ce soit.

— Bored Ape Yacht Club (@BoredApeYC) 25 avril 2022

Bien que difficile à vérifier, quelques des postes sur Twitter a affirmé que l’attaquant était capable de voler des centaines de NFT.

Plus tard, un co-fondateur de BAYC a précisé que quatre Bored Ape, six Mutant Ape et trois Bored Ape Kennel NFT ont été volés dans l’escroquerie par hameçonnage. La valeur combinée de tout cela ? Eh bien, cela a été estimé à 2,4 millions de dollars.

Il a également mentionné que le compte Instagram était protégé par une authentification à deux facteurs, mais n’a pas publié de détails sur le compromis.

Le piratage IG a entraîné la perte de 4 singes, 6 mutants, 3 chenils et quelques autres NFT précieux. Nous serons en contact avec les utilisateurs concernés et publierons un post mortem complet sur l’attaque lorsque nous le pourrons. Pour l’instant, je voudrais souligner que 2FA a été activé sur le compte. https://t.co/bsc3tHt9QG

– Garga.eth (@CryptoGarga) 25 avril 2022

L’activité du portefeuille du pirate suggère qu’il a été déplacer certains des NFT volés. Pendant ce temps, nous avons demandé à Yuga Labs, le propriétaire de BAYC, s’il indemnisait les détenteurs pour les actifs volés. Nous mettrons à jour l’histoire si nous avons des nouvelles.

Jake Moore, conseiller mondial en cybersécurité chez ESET, a déclaré que de telles attaques Instagram ne sont pas nouvelles, mais que la valeur des actifs numériques peut avoir de grandes répercussions sur les victimes :

“Le monde semble entrer dans une dynamique très étrange où les NFT valent désormais [an] somme d’argent exorbitante, mais avec cette augmentation de valeur, il y a inévitablement des cybercriminels qui se cachent pas trop loin derrière.

“Les attaques Instagram ne sont pas nouvelles, mais prennent souvent un élément d’ingénierie sociale dans le développement humain ciblé dans la demande de codes ou la manipulation et l’interception de messages. Malheureusement, cependant, cette prise de contrôle a eu d’énormes conséquences et a entraîné un vol massif d’actifs numériques.

L’un des projets les plus prestigieux de web3 a été la cible de plusieurs attaques de phishing. Plus tôt ce mois-ci, le Discord du projet a été compromis.

Lorsque Yuga Labs a lancé ApeCoin en mars, les escrocs en ont profitépiratant des profils Twitter vérifiés et volant des actifs d’une valeur de près d’un million de dollars à diverses victimes.

Cela montre que les cybercriminels ont juste besoin d’utiliser des méthodes éprouvées comme le phishing pour inciter les gens à connecter leurs portefeuilles de crypto-monnaie – ils n’ont pas besoin d’utiliser un système sophistiqué pour casser la technologie Web3.

Les projets NFT de grande valeur comme BAYC doivent donc prendre des mesures supplémentaires pour garantir la protection de leurs détenteurs. S’ils ont été victimes d’un lien de phishing non sollicité, l’équipe peut donner des conseils génériques tels que “Ne cliquez pas sur des liens suspects”, mais vous ne pouvez pas le faire lorsque votre propre Instagram publie de faux liens.

L’investisseur en crypto-monnaie Jordan Fish – qui passe par Cobie sur Twitter – suggéré Yuga Labs devrait envisager de fournir un service de garde qui obligerait les titulaires à fournir une preuve lorsqu’ils souhaitent réellement retirer leur NFT.

Yuga Labs ou ApeCoinDAO devraient créer un service de garde au plus vite. Ce sont les seules personnes qui ont la confiance et la distribution.

Ils pourraient donner un “Custodied Ape NFT” officiel qui n’est ~ pas ~ un reçu échangeable, mais agit comme une preuve de singe, afin que les propriétaires de BAYC puissent toujours flex w / hot wallet. https://t.co/d0dgek4zNw

– Cobie (@cobie) 25 avril 2022

Il est important de noter que si vous utilisez Metamask ou n’importe quel portefeuille auto-dépositaire, la responsabilité de la sécurité vous incombe. Et les personnes qui ne voudraient peut-être pas manquer les parachutages pourraient négliger la sécurité à ces moments-là.

Cobie a souligné que nous devons enseigner de meilleures pratiques d’auto-garde, car tous les utilisateurs pourraient ne pas être assez sophistiqués pour faire attention tout le temps. Mais, bien sûr, y parvenir est beaucoup plus facile à dire qu’à faire.