Penipu mencuri crypto senilai $150K dari proyek NFT dengan Discord hack

Penipu mencuri crypto senilai $150K dari proyek NFT dengan Discord hack

　　theverge–

Pembeli berharap mendapatkan NFT edisi terbatas dari Fractal, pasar baru untuk NFT item game, diberi kejutan yang tidak menyenangkan, pada Selasa pagi ketika terungkap bahwa sebuah tautan dikirim melalui saluran resmi Discord proyek adalah penipuan yang dibuat untuk mencuri crypto.

　　Pengguna yang mengikuti tautan dan menghubungkan dompet crypto mereka, berharap untuk menerima NFT, malah menemukan bahwa kepemilikan cryptocurrency Solana (SOL) mereka dikosongkan dan ditransfer ke akun scammer. Analisis yang diposting di Medium oleh Tim Cotten, pendiri proyek game NFT lainnya, memperkirakan nilai SOL yang dicuri sekitar $150.000.

　　Fractal adalah proyek startup dari co-founder Twitch Justin Kan yang mengkhususkan diri dalam pembelian dan penjualan NFT yang mewakili aset dalam game. Itu diumumkan sebelumnya pada bulan Desember dan dengan cepat mengumpulkan lebih dari 100.000 pengguna melalui Discord - menjadikannya target untuk jenis scammers yang telah mengganggu proyek NFT sejak awal.

　　Berita mencapai Twitter ketika sebuah tweet dari Kan memberi tahu pengikut bahwa bot pengumuman di server Discord Fractal telah diretas. Tweet lain dari akun Twitter utama Fractal mengkonfirmasi bahwa tautan penipuan telah diposting melalui saluran tersebut.

　　Serangan itu mengambil keuntungan dari pengguna yang berharap untuk mencetak NFT, istilah yang diberikan untuk membeli token pada saat pertama kali dibuat oleh proyek tertentu, daripada membelinya di pasar sekunder di kemudian hari.

　　Meskipun posting dari bot Discord itu palsu, akun Twitter resmi Fractal telah memposting tweet hanya beberapa jam sebelumnya mengisyaratkan airdrop yang akan datang: sebuah proses di mana proyek crypto mendistribusikan sejumlah token, biasanya kepada pengguna yang merupakan pengguna awal.

　　Karena permintaan untuk token mint dan airdrop seringkali sangat tinggi, tekanan bagi pengguna untuk bergerak cepat ketika pengumuman sekejap dibuat menciptakan vektor serangan yang dengan senang hati dieksploitasi oleh scammer.

　　Meskipun kriptografi di balik mata uang kripto dan NFT sangat aman, jaringan luas situs web dan aplikasi yang terdiri dari ekosistem kripto yang lebih luas mengandung banyak kemungkinan vektor untuk diserang.

　　Sebuah tweet dari akun resmi Fractal menunjukkan bahwa pesan penipuan telah diposting ke Discord melalui webhook. Webhook adalah fitur desain aplikasi web yang memungkinkan aplikasi mendengarkan pesan yang dikirim ke URL tertentu dan memicu peristiwa sebagai tanggapan — misalnya, memposting ke saluran Discord tertentu.

　　Jika webhook tidak diamankan dengan tindakan autentikasi tambahan, secara efektif siapa pun yang memiliki URL dapat memposting ke saluran.Masih belum jelas jika ada tindakan pencegahan yang diambil oleh tim di belakang Fractal untuk mencegah hal ini terjadi.

　　Setelah peretasan, sebuah posting blog dari Fractal mengumumkan bahwa korban yang kehilangan uang akan diberi kompensasi penuh. Sementara meminta maaf secara singkat, posting blog juga tampaknya menempatkan beberapa tanggung jawab untuk keamanan pada pengikut proyek, dengan mengatakan:

　　“Jika ada sesuatu yang tidak beres di crypto, tolong jangan lanjutkan, meskipun pada awalnya terlihat sah. Kami harus menggunakan penilaian terbaik kami karena tidak ada 'tombol undo' di crypto.”

　　Fractal belum menanggapi permintaan komentar yang dikirim melalui formulir kontak resmi perusahaan pada saat pers.