Неизвестные хакеры украли NFT из коллекции Bored Ape Yacht Club у их владельцев по фишинговой ссылке в Instagram. Стоимость украденных цифровых артов превышает $3 млн.
Неизвестные хакеры украли NFT из коллекции Bored Ape Yacht Club у их владельцев по фишинговой ссылке в Instagram. Стоимость украденных цифровых артов превышает $3 млн.
Bored Ape Yacht Club (BAYC) — это NFT-коллекция, состоящая из 10 000 уникальных изображений обезьян. Сейчас эти токены одни из самых популярных в мире. Они есть у Джастина Бибера, Эминема, Пэрис Хилтон и Мадонны. Токены BAYC создала компания Yuga Labs
Хакеры взломали официальный аккаунт компании в Instagram с более чем 47 тысячами подписчиков и опубликовали от имени Yuga Labs пост об «airdrop» — бесплатной раздаче токенов.
Это была фишинговая ссылка, при переходе по которой пользователям предлагали подписать фейковый смарт-контракт для подтверждения транзакции. Таким образом хакеры получили доступ к криптокошелькам MetaMask.
В официальном Твиттере BAYC сообщили о взломе Instagram и призвали не переходить ни по каким ссылкам. Но было уже поздно: злоумышленники успели украсть из 32 кошельков NFT сумму на $3 млн.
Среди них было четыре обезьяны из коллекции Bored Ape Yacht Club на общую сумму более $1 млн.
Хакеры выбрали для своей аферы именно Instagram, потому что NFT часто хранят в криптокошельках на смартфоне. Тот же MetaMask отображает NFT только на мобильном устройстве и поощряет пользователей управлять токенами через мобильное приложение, а не расширение в браузере. Таким образом через ссылку в Instagram хакеры смогли получить доступ к мобильным кошелькам пользователей.
Кроме того, на руку злоумышленникам сыграли факты доверия — они объявили о фейковом «airdrop» из официального инстаграма Yuga Labs.
Как и в реальной жизни украденную картину трудно продать, особенно известную, так и в случае с NFT — продать можно, но на черном рынке. Популярные маркетплейсы типа OpenSea пытаются следить за этим и остановить продажу ворованных NFT. Но за всем не проследишь.
Все транзакции с тем или иным токеном записываются на блокчейне и их можно отследить. Однако установить человека, который их совершает, почти нереально.
