Віртуальні токени Bored Ape Yacht Club коштують тисячі доларів та є у колекціях Джастіна Бібера, Емінема, Періс Хілтон та Мадонни. «Викрадення» декількох цифрових мавп через Instagram 25 квітня обійшлося їхнім власникам у понад $3 млн. Як злочинці хакнули одну з найдорожчих NFT-колекцій та що робитимуть з украденими приматами
Як злочинці викрали NFT
Хакери отримали доступ до криптогаманців MetaMask, з яких користувачі платили за NFT, через фішинговий лінк. Вони опублікували його на офіційній сторінці Yuga Labs – творців Bored Ape Yacht Club – у Instagram. Як злочинці отримали доступ до офіційного акаунту, не відомо. Yuga Labs каже, що дотримувалися усіх правил безпеки, зокрема, встановили двохфакторну автентифікацію для менеджерів акаунту.
Хакери опублікували в Instagram від імені Yuga Labs пост про «airdrop» – безкоштовну роздачу токенів. Користувачам, які перейшли за лінком, злочинці пропонували підписати фейковий смарт-контракт для підтвердження транзакції, який дав змогу викрасти з 32 гаманців NFT суму на $3 млн, серед яких є чотири мавпи з колекції Bored Ape Yacht Club.
Що треба знати про Bored Ape Yacht Club (BAYC)
- Це колекція цифрових активів, які базуються на блокчейні Ethereum.
- Усього в колекції 10 000 унікальних мавп, які згенерували алгоритми. Це одна з найбільш популярних колекцій на маркетплейсі OpenSea.
- Обсяг продажів BAYC станом на січень цього року – понад $1 млрд. Американський ведучий Джиммі Феллон заплатив за один токен $224 000, репер Емінем – $452 000, музикант Джастін Бібер – $1,3 млн.
- Засновники BAYC – друзі під псевдонімами Gargamel, Gordon Goner, Emperor Tomato Ketchup і No Sass.
Чому обрали саме Instagram для пошуку жертв? Тому що NFT часто зберігають у криптогаманцях у смартфоні. До того ж програма MetaMask відображає NFT лише на мобільному пристрої та заохочує користувачів керувати токенами через додаток на телефоні, а не розширення у браузері. Таким чином через лінк в Instagram хакери могли отримати доступ до мобільного гаманця користувачів.
Що можна зробити з украденими NFT
Купівлю NFT прирівнюють до купівлі мистецтва, а продати украдену картину – не просто, особливо, якщо вона відома. Маркетплейси на зразок OpenSea слідкують за цим і намагаються зупинити продаж таких NFT.
Кіберзлочинці, проте, навчилися обходити ці обмеження і продовжують продавати украдені або підроблені токени. Хоч транзакції на блокчейні можна відслідкувати, встановити особу, яка їх здійснює, дуже складно.
У січні 2022-го хакери заробили $1,3 млн на NFT колекції The Big Daddy Ape Club, яка базується на блокчейні Solana. Покупці переплутали її із The Bored Ape Yacht Club. А на початку квітня власник віртуальних мавп під псевдонімом «s27» втратив NFT на понад $500 000, коли шахраї переконали обміняти їх на підробку.
І хоча творці NFT радять користувачам не давати доступ до свого гаманця невідомим особам, той факт, що фішингове посилання опублікували на офіційній сторінці BAYC, переконало власників токенів у його достовірності. Yuga Labs поки що не відповіла, чи отримають жертви злому компенсацію за їхні втрати.
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.