Fri. May 20th, 2022

Tisdagen den 21 december föll två NFT-projekt offer för samma attack. Liksom många projekt i kryptovärlden, engagerade NFT-samlingen Monkey Kingdom och in-game tillgångsmarknadsplatsen Fractal båda starkt med sina samhällen genom Discord chattservrar. Båda projekten var på väg att dela ut belöningar till sina community-medlemmar: Monkey Kingdom genom en NFT-försäljning på dagen den 21:a och Fractal genom en token airdrop – i huvudsak en gratis utdelning till tidiga supportrar – några dagar senare.

Sedan slog katastrofen till. Inlägg dök upp i den officiella “meddelande”-kanalen för varje projekt som hävdade att en överraskningsmynta skulle belöna community-medlemmar med en begränsad upplaga av NFT. Hundratals hoppade på chansen – men för de som följt länkarna och kopplade ihop sina kryptoplånböcker väntade en kostsam överraskning. Istället för att ta emot en NFT, tömdes plånböcker på kryptovalutan Solana, som båda projekten använde för inköp.

Inom loppet av en timme informerade ett Twitter-inlägg, först från Monkey Kingdom och sedan från Fractal, följare om att deras Discord-servrar hade blivit hackade; Nyheten om NFT-myntverket var falsk, länkarna ett nätfiskebedrägeri. När det gäller Fractal kom bedragarna undan med cirka 150 000 $ i kryptovaluta. För Monkey Kingdom rapporterades den uppskattade summan vara 1,3 miljoner dollar.

SAMMA TEKNIKER SOM ATT HYPA UPP EN REA KAN OCKSÅ ÖPPNA DÖRREN FÖR HACKERS

Varken attacken riktade sig mot blockkedjan eller själva tokens. Istället utnyttjade tjuvarna svagheter i infrastrukturen som användes för att sälja tokens – närmare bestämt Discord-chattrum där NFT-fans samlas. Det är en påminnelse om en ihållande svaghet i den växande NFT-ekonomin, där överraskande sjunker har fått köpare att gå snabbt eller riskera att missa något. Men samma tekniker som hypar upp en försäljning kan också öppna dörren för hackare – och i det här fallet kan en enda kompromiss spridas till mer än en gemenskap samtidigt.

I det här fallet hade NFTs tjuvar riktat in sig på en funktion som kallas en webhook. Webhooks används av många webbapplikationer (Discord ingår) för att lyssna efter ett meddelande som skickas till en viss URL och utlösa en händelse som svar, som att lägga upp innehåll till en viss kanal. Du kan tänka på en webhook som ett hemligt telefonnummer, en unik identifierare som kan “ringas upp” (eller, närmare bestämt, “smsa”) för att ansluta till en applikation i andra änden.

Genom att få tillgång till webhooks som tillhör Fractal- och Monkey Kingdom Discord-servrarna kunde hackarna skicka meddelanden som sändes till alla medlemmar i vissa kanaler: en funktion som endast är avsedd att användas för officiell kommunikation från projektteamen. Det var här det falska “meddelandet” kom ifrån och varför det hade pekat på en bluffadress. Så här i efterhand borde innehållet ha lyft några röda flaggor – men med tanke på distributionsmetoden såg det lagom lagligt ut att många blev lurade.

“VI ARBETAR ALLTID FÖR ATT GÖRA DET SVARA FÖR DESSA ATTACKER ATT HÄNDA OCH KOMMER ATT FORTSÄTTA ATT INVESTERA I UTBILDNING OCH VERKTYG SOM HJÄLPER SKYDDAR VÅRA ANVÄNDARE”
Discord webhooks används för att automatisera meddelanden baserat på aktiviteter i andra applikationer: till exempel beskriver den officiella dokumentationen att man skapar en bot som meddelar en kanal om nya GitHub-bekräftelser. Men det är lätt att tappa reda på dessa bots bland olika tredjepartstjänstintegrationer, och avgörande är att det inte finns något sätt att stänga av alla på en gång om du har blivit hackad. Resultatet är en stor möjlighet för angripare och ett ansvar för alla Discord-gemenskaper som inte uppmärksammar deras integrationer.

En talesperson för Discord sa att företaget varnade människor att vara försiktiga när de ger andra tillgång till sina enheter och personlig information och pekade på vägledning som gjorts tillgänglig genom dess resurscenter för Moderator Academy.

“Discord tar säkerheten för alla användare och samhällen på största allvar, inklusive sociala ingenjörsattacker som dessa”, säger Peter Day, senior manager för företagskommunikation på Discord. “Även om det finns tydliga kontroller på plats, arbetar vi alltid för att göra det svårare för dessa attacker att hända och kommer att fortsätta att investera i utbildning och verktyg för att skydda våra användare.”

By Adam

Leave a Reply

Your email address will not be published.