Il creatore di Bored Apes avverte di un gruppo di minaccia che prende di mira le comunità NFT

Yuga Labs, lo studio di sviluppo dietro le popolari collezioni di token non fungibili (NFT) come Bored Apes Yacht Club, ha lanciato l'allarme in un tweet lunedì, parlando di un gruppo di aggressori che prende di mira la comunità NFT.

"Il nostro team di sicurezza ha monitorato un gruppo di minacce persistenti che prende di mira la comunità NFT", hanno twittato gli sviluppatori di Yuga. "Riteniamo che presto potrebbero lanciare un attacco coordinato che prende di mira più comunità tramite account di social media compromessi".

Yuga Labs non ha risposto alle richieste di informazioni più specifiche al momento della stesura. Tuttavia, l'avviso è arrivato perché negli ultimi mesi si sono verificati exploit NFT per milioni di dollari.

Lo scorso weekend sono stati rubati oltre 375.000 $ di ether (ETH) e 314 NFT da Premint NFT, una popolare piattaforma NFT. Un'indagine della società di sicurezza CertiK ha rivelato che gli autori della minaccia hanno impiantato un codice JavaScript dannoso su premint.xyzsito web. Lo script è stato progettato per istruire gli utenti a "impostare le approvazioni per tutti" quando collegano i loro portafogli al sito, il che ha consentito agli aggressori di accedere a tutti gli asset nei portafogli dell'utente.

"Sebbene il file dannoso non sia più disponibile perché il Domain Name Server non esiste più, gli effetti dell'attacco sono visibili on-chain", si leggeva in una dichiarazione di CertiK all'epoca. "In totale, sei account di proprietà esterna (EOA) sono direttamente associati all'attacco, con circa 275 ETH rubati (~$375K).

L'azienda ha aggiunto che gli aggressori "sfruttano i problemi di centralizzazione e i singoli punti di errore" che derivano dai progetti Cripto che si basano su infrastrutture Internet centralizzate. "Gli hack di questo tipo stanno diventando sempre più popolari", ha affermato CertiK. "C'è stato un netto aumento degli aggressori che prendono di mira altri account ufficiali come le piattaforme dei social media per condurre exploit".

L'attacco di Premint è avvenuto quasi una settimana dopo gli aggressoriha rubato oltre 1,4 milioni di dollariin ether da Omni Protocol, una piattaforma NFT che consente agli utenti di ottenere prestiti tramite i propri NFT.

Ciò è avvenuto in seguito a un attacco di maggio quando gli utenti del mercato NFT OpenSearicevuto falsi messaggi promozionali sul canale Discord del progetto, che ha portato i membri della community a un sito falso che ha finito per prosciugare i portafogli degli utenti dopo aver cliccato su un LINK dannoso.

Ad aprile, l'account Instagram e il server Discord dei Bored Apes sono stati sfruttati con un LINK "mint" non ufficiale inviato ai follower. Il LINK fraudolento sosteneva che gli utenti potevano "atterrare" con il mint nell'allora imminente OthersideMeta, come precedentemente segnalato.

In unincidente separato di aprile, gli aggressori hanno sfruttato un difetto di progettazione, ora risolto, nel marketplace NFT Rarible per rubare un NFT Bored APE al cantante e attore taiwanese Jay Chou e rivenderlo per oltre 500.000 dollari.