Виртуальные токены Bored Ape Yacht Club стоят тысячи долларов и есть в коллекциях Джастина Бибера, Эминема, Пэрис Хилтон и Мадонны. «Похищение» нескольких цифровых обезьян через Instagram 25 апреля обошлось их владельцам более чем в $3 млн. Как преступники хакнули одну из самых дорогих NFT-коллекций и что будут делать с украденными приматами
Как преступники похитили NFT
Хакеры получили доступ к криптокошелькам MetaMask, с которых пользователи платили за NFT, через фишинговую ссылку. Они опубликовали его на официальной странице Yuga Labs – создателей Bored Ape Yacht Club – в Instagram. Как преступники получили доступ к официальному аккаунту, неизвестно. Yuga Labs говорит, что соблюдались все правила безопасности, в частности, была установлена двухфакторная аутентификация для менеджеров аккаунта.
Хакеры опубликовали в Instagram от имени Yuga Labs пост об «airdrop» – бесплатной раздаче токенов. Пользователям, перешедшим по ссылке, преступники предлагали подписать фейковый смарт-контракт для подтверждения транзакции, который позволил похитить из 32 кошельков NFT сумму на $3 млн, среди которых четыре обезьяны из коллекции Bored Ape Yacht Club.
Что нужно знать о Bored Ape Yacht Club (BAYC)
- Это коллекция цифровых активов, базирующихся на блокчейне Ethereum.
- Всего в коллекции 10 000 уникальных обезьян, сгенерировавших алгоритмы. Это одна из самых популярных коллекций на маркетплейсе OpenSea.
- Объем продаж BAYC по состоянию на январь этого года – более $1 млрд. Американский ведущий Джимми Феллон заплатил за один токен $224 000, рэпер Эминем – $452 000, музыкант Джастин Бибер – $1,3 млн.
- Основатели BAYC – друзья под псевдонимами Gargamel, Gordon Goner, Emperor Tomato Ketchup и No Sass.
Почему выбрали именно Instagram для поиска жертв? Потому что NFT часто хранят в криптокошельках в смартфоне. Кроме того, приложение MetaMask отображает NFT только на мобильном устройстве и поощряет пользователей управлять токенами через приложение на телефоне, а не расширение в браузере. Таким образом, через ссылку в Instagram хакеры могли получить доступ к мобильному кошельку пользователей.
Что можно сделать с украденными NFT
Покупку NFT приравнивают к покупке искусства, а продать украденную картину – не просто, особенно если она известна. Маркетплейсы вроде OpenSea следят за этим и пытаются остановить продажу таких NFT.
Киберпреступники, однако, научились обходить эти ограничения и продолжают продавать украденные или поддельные токены. Хотя транзакции на блокчейне можно отследить, установить личность их очень сложно.
В январе 2022-го хакеры заработали $1,3 млн на NFT коллекции The Big Daddy Ape Club, базирующейся на блокчейне Solana. Покупатели перепутали ее с The Bored Ape Yacht Club. А в начале апреля владелец виртуальных обезьян под псевдонимом «s27» потерял NFT более $500 000, когда мошенники убедили обменять их на подделку.
И хотя создатели NFT советуют пользователям не давать доступ к своему кошельку неизвестным лицам, тот факт, что фишинговая ссылка, опубликованная на официальной странице BAYC, убедила владельцев токенов в ее достоверности. Yuga Labs пока не ответила, получат ли жертвы взлома компенсацию за их потери.
Вы нашли ошибку или неточность?
Оставьте отзыв для редакции. Мы учтем ваши замечания как можно скорее.