Bored Apes Yacht Club (BAYC) gibi popüler olmayan token (NFT) koleksiyonlarının arkasındaki geliştirme stüdyosu Yuga Labs, Pazartesi günü bir tweet’te NFT topluluğunu hedef alan bir grup saldırgan konusunda uyardı.
Yuga geliştiricileri, “Güvenlik ekibimiz, NFT topluluğunu hedef alan kalıcı bir tehdit grubunu izliyor” dedi. “Yakında, güvenliği ihlal edilmiş sosyal medya hesapları aracılığıyla birden fazla topluluğu hedef alan koordineli bir saldırı başlatabileceklerine inanıyoruz.”
Yuga Labs, yazarken daha spesifik bilgi isteyen taleplere yanıt vermedi. Ancak uyarı, son birkaç ay içinde milyonlarca dolar değerinde NFT açıklarının meydana gelmesiyle geldi.
Geçtiğimiz hafta sonu, popüler bir NFT platformu olan Premint NFT’den 375.000 $ değerinde ether ve 314 NFT çalındı. Güvenlik firması CertiK tarafından yapılan bir araştırma, tehdit aktörlerinin premint.xyz web sitesine kötü amaçlı bir JavaScript kodu yerleştirdiğini ortaya çıkardı. Komut dosyası, kullanıcılara cüzdanlarını siteye bağlarken “herkes için onay belirleme” talimatı vermek için tasarlandı ve bu da saldırganların kullanıcının cüzdanlarındaki tüm varlıklara erişmesine izin verdi.
CertiK’ten yapılan açıklamada, “Alan Adı Sunucusu’nun artık mevcut olmaması nedeniyle kötü amaçlı dosya artık mevcut değilken, saldırının etkileri zincir üzerinde görülebilir” dedi. “Toplamda, harici olarak sahip olunan altı hesap (EOA) ) çalınan yaklaşık 275 ETH (~375 bin dolar) ile doğrudan saldırıyla ilişkili.”
Firma, saldırganların merkezi internet altyapılarına dayanan kripto projeleriyle gelen “merkezileşme sorunlarını ve tek başarısızlık noktalarını istismar ettiğini” ekledi. CertiK, “Bu tür hack’ler giderek daha popüler hale geliyor” dedi. “Sosyal medya platformları gibi diğer resmi hesapları istismar etmek için hedef alan saldırganlarda belirgin bir artış oldu.”
Premint saldırısı, saldırganların, kullanıcıların NFT’lerine karşı kredi almalarını sağlayan bir NFT platformu olan Omni Protocol’den 1,4 milyon dolar değerinde ether çalmasından yaklaşık bir hafta sonra geldi.
Bunu, NFT pazar yeri OpenSea kullanıcılarının projenin Discord kanalında yanlış promosyon mesajları aldığını gören ve topluluk üyelerini kötü niyetli bir bağlantıya tıkladıklarında sonunda kullanıcı cüzdanlarını boşaltan sahte bir siteye yönlendiren bir Mayıs saldırısının ardından geldi.
Nisan ayında, BAYC’nin Instagram hesabı ve Discord sunucusu, takipçilere gönderilen resmi olmayan bir “mint” bağlantısıyla istismar edildi. Sahte bağlantı, daha önce bildirildiği gibi, kullanıcıların o sırada yaklaşan OthersideMeta’ya “kara” basabileceğini iddia etti.
Nisan ayındaki ayrı bir olayda, saldırganlar Rarible NFT pazarında şimdi düzeltilmiş bir tasarım kusurundan yararlanarak Tayvanlı şarkıcı ve aktör Jay Chou’dan bir Bored Ape NFT’yi çalıp 500.000 doların üzerinde bir fiyata sattılar.
