Bored Apes Yacht Club (BAYC) gibi popüler olmayan token (NFT) koleksiyonlarının arkasındaki geliştirme stüdyosu Yuga Labs, Pazartesi günü bir tweet’te NFT topluluğunu hedef alan bir grup saldırgan konusunda uyardı.
Yuga geliştiricileri, “Güvenlik ekibimiz, NFT topluluğunu hedef alan kalıcı bir tehdit grubunu izliyor” dedi. “Yakında, güvenliği ihlal edilmiş sosyal medya hesapları aracılığıyla birden fazla topluluğu hedef alan koordineli bir saldırı başlatabileceklerine inanıyoruz.”
Yuga Labs, yazarken daha spesifik bilgi isteyen taleplere yanıt vermedi. Ancak uyarı, son birkaç ay içinde milyonlarca dolar değerinde NFT açıklarının meydana gelmesiyle geldi.
Geçtiğimiz hafta sonu, popüler bir NFT platformu olan Premint NFT’den 375.000 $ değerinde ether ve 314 NFT çalındı. Güvenlik firması CertiK tarafından yapılan bir araştırma, tehdit aktörlerinin premint.xyz web sitesine kötü amaçlı bir JavaScript kodu yerleştirdiğini ortaya çıkardı. Komut dosyası, kullanıcılara cüzdanlarını siteye bağlarken “herkes için onay ayarlama” talimatı vermek üzere tasarlandı ve bu da saldırganların kullanıcının cüzdanlarındaki tüm varlıklara erişmesine izin verdi.
CertiK’ten yapılan açıklamada, “Alan Adı Sunucusu’nun artık mevcut olmaması nedeniyle kötü amaçlı dosya artık mevcut değilken, saldırının etkileri zincir üzerinde görülebilir.” ) çalınan yaklaşık 275 ETH (~375 bin dolar) ile doğrudan saldırıyla ilişkili.”
Firma, saldırganların, merkezi internet altyapılarına dayanan kripto projeleriyle gelen “merkezileştirme sorunlarını ve tek başarısızlık noktalarını istismar ettiğini” de sözlerine ekledi. CertiK, “Bu tür hack’ler giderek daha popüler hale geliyor” dedi. “Sosyal medya platformları gibi diğer resmi hesapları istismar etmek için hedef alan saldırganlarda belirgin bir artış oldu.”
Premint saldırısı, saldırganların, kullanıcıların NFT’lerine karşı kredi almalarını sağlayan bir NFT platformu olan Omni Protocol’den 1,4 milyon dolar değerinde ether çalmasından yaklaşık bir hafta sonra geldi.
Bunu, NFT pazar yeri OpenSea kullanıcılarının projenin Discord kanalında yanlış promosyon mesajları aldığını gören ve topluluk üyelerini kötü niyetli bir bağlantıya tıkladıklarında sonunda kullanıcı cüzdanlarını tüketen sahte bir siteye yönlendiren bir Mayıs saldırısının ardından geldi.
Nisan ayında, BAYC’nin Instagram hesabı ve Discord sunucusu, takipçilere gönderilen resmi olmayan bir “mint” bağlantısıyla istismar edildi. Sahte bağlantı, daha önce bildirildiği gibi, kullanıcıların o sırada yaklaşan OthersideMeta’ya “kara” basabileceğini iddia etti.
Nisan ayındaki ayrı bir olayda, saldırganlar Rarible NFT pazarında şimdi düzeltilen bir tasarım kusurundan yararlanarak Tayvanlı şarkıcı ve aktör Jay Chou’dan bir Bored Ape NFT’yi çalıp 500.000 doların üzerinde bir fiyata sattılar.