Cumartesi günü projeye ait Discord sunucusunun güvenlik zaafiyetinden faydalanan bir hacker yazım sırasında 360 bin dolara karşılık gelen 200 Ethereum (ETH) değerindeki Bored Ape NFT‘lerini çaldı. Bored Ape Yacht Club‘ın (BAYC) arkasındaki şirket Yuga Labs, saldırıdan yaklaşık 11 saat sonra bir tweet ile çalınan miktarı doğruladı.
Saldırıda Discord Hesabı Kullanıldı
Zincir üstü (on-chain) analisti ve Twitter kullanıcısı NFTherder’e göre hacker, BAYC‘nin proje yöneticisi Boris Vagner’e ait Discord hesabını çalarak saldırıya geçti. Yuga Labs, BAYC Twitter hesabı aracılığıyla “Discord sunucularımız bugün kısa süreli hack’lendi. Ekip sorunu tespit etti ve çabucak çözdü. Saldırıdan yaklaşık 200 ETH değerinde NFT etkilenmiş gibi görünüyor. Halen araştırıyoruz” açıklamasında bulundu.
NFTherder’e göre, hacker Vagner gibi davranarak Bored Apes koleksiyoncularını kötü niyetli bir bağlantıya tıklamaları için kandırdı ve NFT‘leri kendi adreslerine gönderen bir kimlik avı dolandırıcılığına imza attılar. Vagner, Şubat ayında Bored Apes ve Yuga Labs’ın kurucularını övdüğü bir tweet’te topluluk yöneticisine terfi ettiğini duyurmuştu.
Sosyal medyada Discord hesabının nasıl hack’lendiğine dair projenin güvenliğinin sorgulayan sorular ortaya çıktı. İki faktörlü kimlik doğrulama (2FA) yoluyla alınan uygun güvenlik önlemlerine rağmen hacker’ın kurbanın Discord ID token’ını alarak güvenliği ihlal ettikleri üzerinde duruluyor.
Hacker’ın arkasındaki yöntemle ilgili bir açıklama, Vagner’ın Discord ID token’ının (bir kişinin kimliğini doğrulamadan yerel olarak birden çok kez oturum açmak için kullanılan yöntem) güvenliğinin ihlal edilmiş olmasıydı. Bu, oyuncunun Vagner’ın hesabına erişmesine izin verebilirdi.
BAYC’de 3. Hack Şaşkınlığı
Hack, 1 Nisan’da bir Mutant Ape Yat Kulübü NFT‘lerinin Discord’daki bir kimlik avı bağlantısı yoluyla çalınması da dahil olmak üzere, BAYC’nin üçüncü kez hack’lendiğini gösteriyor. Bu ilk hack’ten yaklaşık dört hafta sonra, 25 Nisan’da BAYC’nin Discord ve Instagram hesapları taklitçi bir web sitesine yapılan sahte bir bağlantı kullanımı yoluyla kullanıcıları milyonlarca dolarlık NFT’lerinden eden bir saldırıya uğramıştı.
Yüzlerce kullanıcı, tekrarlanan saldırılar ve iddia edilen güvenlik eksikliği konusundaki hayal kırıklıklarını dile getirmek için Twitter’a akın etti.
NFTherder, bir kullanıcının BAYC’nin güvenliğiyle ilgili yaptığı yoruma verdiği yanıtta “BAYC tam zamanlı bir güvenlik yöneticisine yatırım yapmayı düşünmeli. Bunu yapmamış olmalarına şaşırdım.” ifadelerini kullandı.