Bilgisayar korsanları, üç aydan kısa bir süre içinde Yuga Labs'ı üçüncü kez hedef alan bir kimlik avı dolandırıcılığında 350.000 dolardan fazla Bored Ape Yat Kulübü NFT'sini çaldı. Popüler NFT geliştiricisi Yuga Labs, geçtiğimiz günlerde resmi Discord sunucularının "kısa bir süre istismar edildiğini" ve bu süreçte yaklaşık 200 ETH tutarında NFT'nin "etkilenmesine" yol açtığını tweetledi . Bu, Yuga Labs'in Nisan ayından bu yana bilgisayar korsanları tarafından ( Insider aracılığıyla) üçüncü kez başarılı bir şekilde saldırıya uğraması .

Önceki olayların ikisi de oltalama saldırılarından kaynaklandı ve ikincisi sahte para basma bağlantılarını içeriyordu. Kullanıcıların bu tür dolandırıcılıklara daha fazla kurban gitmesini önlemek amacıyla Yuga Labs, kullanıcılara herhangi bir sürpriz para basma veya eşantiyon sunmadığını hatırlatan bir tweet yayınladı. Mesele şu ki, ilk etapta resmi Bored Ape Yacht Club'ın resmi hesabına çeşitli kimlik avı bağlantıları göndermek için Discord hesabına sızan Yuga Labs'ın kendi topluluk yöneticisi Boris Vagner'dı.

Kimlik avı saldırıları NFT'lerde yaygındır

Bored Ape Yacht Club koleksiyonu, düzenli olarak binlerce kullanıcıyı toplayan yerleşik bir platform haline geldiğinden, bilgisayar korsanlarının sürekli olarak Yuga Labs'ı hedef almalarının iyi bir nedeni var. Blockchain istihbarat şirketi TRM Labs'in Hukuk İşleri Başkanı Ari Redbord, çoğunluğu yüz binlerce dolar değerinde kripto para birimiyle işlem gören kapsamlı NFT koleksiyonu göz önüne alındığında, Yuga Labs'in kurban edilmesinin "sürpriz olmadığını" söyledi. ( Yahoo aracılığıyla ). Bununla birlikte Redbord, kullanıcıları ekstra dikkatli olmaya ve bu tür dolandırıcılıkları bildirmeye çağırdı çünkü bu işlemler artık "giderek daha organize hale geliyor".

TRM Labs , çeşitli biçimlerde olabilen NFT kimlik avı dolandırıcılıklarında yer alabilecek çeşitli aşamaların altını çizdi. Buna e-postalar, Discord veya benzer mesajlaşma platformlarındaki DM'ler, sanal cüzdanlardaki reklamlar ve hatta NFT değişim platformlarının kimliğine bürünmüş personel dahildir. Bilgisayar korsanları, kurbanları var olmayan değerli NFT'lerle cezbederek hızlı hareket etmeleri için baskı yapıyor. Daha sonra saldırganlar, kurbanların cüzdanlarına erişmek için sözde NFT'nin sahipliğini kazandıklarını düşünmelerini sağlayan sahte bir sözleşme imzalamalarına izin veren bir yem ve geçiş sözleşmesi kullanır.

Son NFT dolandırıcılıkları saçma bir şekilde kazançlı oldu

NFT dolandırıcılıkları yalnızca son birkaç yılda milyonlarca dolar tahakkuk ettirdi. Bu NFT kimlik avı dolandırıcılıklarının çoğu, genellikle kurbanların güvenini kazanmak için saygın topluluk üyeleri veya proje geliştiricileri gibi davranan bilgisayar korsanlarını içerir. 2021'de NFT tüccarı Jeff Nicholas, popüler NFT değişim platformu OpenSea ( The Verge aracılığıyla) için resmi bir destek ekibi olarak görev yapan bilgisayar korsanlarına yanlışlıkla 150 ETH verdi . Başka bir kurban olan Sohrob Farudi , Bored Ape Yacht Club kurucuları olduğunu iddia eden dolandırıcılardan 250 ETH kaybetti.

Saldırganların, alıcıları NFT satın aldıklarını düşünmelerini sağlamak için yukarıda bahsedilen benzer yem ve geçiş sözleşme yöntemlerini kullandıkları, ancak bu süreçte kişisel bilgilerini ifşa ederek kripto para cüzdanlarını etkin bir şekilde hırsızlığa açmalarını sağladıkları bildirildi. TRM Labs, yalnızca bir eylem bilgisayar korsanlarına tüm dijital varlıklarına anında erişim sağlayabileceğinden, kullanıcıların tam olarak güvenmedikleri işlemleri asla imzalamamalarını önerir. Blockchain firması, NFT toplayıcılarına özel anahtarlarını veya tohum ifadelerini hiçbir nedenle kimseye vermemelerini tavsiye ediyor. Bunu söylemeye gerek yok: Özellikle hemen hemen herkesin istediği kişi olduğunu kolayca iddia edebileceği sanal bir alanda, ilk önce gerçekte kim olduklarını doğrulamadan yabancılarla konuşmayın.