Невідомі хакери вкрали NFT з колекції Bored Ape Yacht Club у їх власників через фішингове посилання в Instagram. Вартість викрадених цифрових артів перевищує $3 млн.
Невідомі хакери вкрали NFT з колекції Bored Ape Yacht Club у їх власників через фішингове посилання в Instagram. Вартість викрадених цифрових артів перевищує $3 млн.
Bored Ape Yacht Club (BAYC) — це NFT-колекція, що складається з 10 000 унікальних зображень мавп. Зараз ці токени одні з найпопулярніших у світі. Вони є у Джастіна Бібера, Емінема, Періс Хілтон та Мадонни. Токени BAYC створила компанія Yuga Labs
Хакери зламали офіційний акаунт компанії в Instagram з понад 47 тисячами підписників і опублікували від імені Yuga Labs пост про «airdrop» — безкоштовну роздачу токенів.
Це був фішинговий лінк, при переході за яким користувачам пропонували підписати фейковий смарт-контракт для підтвердження транзакції. Таким чином хакери отримали доступ до криптогаманців MetaMask.
В офіційному Твітері BAYC повідомли про злам Instagram і закликали не переходити за жодними лінками. Але було вже пізно: зловмисники встигли викрасти з 32 гаманців NFT суму на $3 млн.
Серед них було чотири мавпи з колекції Bored Ape Yacht Club на загальну суму понад $1 млн:
Хакери обрали для своєї афери саме Instagram, тому що NFT часто зберігають у криптогаманцях у смартфоні. Той же MetaMask відображає NFT лише на мобільному пристрої та заохочує користувачів управляти токенами через мобільний додаток, а не розширення у браузері. Таким чином через лінк в Instagram хакери змогли отримати доступ до мобільних гаманців користувачів.
Крім того, на руку зловмисників зіграв фактов довіри — вони оголосили про фейковий «airdrop» через офіційний інстаграм Yuga Labs.
Як і в реальному житті вкрадену картину важко продати, особливо відому, так і у випадку з NFT — продати то можна, але на чорному ринку. Популярні маркетплейси типу OpenSea намагаються стежити за цим и зупинити продаж крадених NFT. Але за всім не простежиш.
Усі транзакції стосовно того чи іншого токена записуються на блокчейні і їх можна простежити. Проте встановити особу, яка їх здійснює, майже нереально.
