سرقت کلکسیون ۱ میلیون دلاری Bored Ape این بار از طریق حمله Social Engineering

توکن‌های غیر قابل تعویض مجموعه Bored Ape Yacht Club به ‌عنوان یکی از شناخته‌شده‌ترین مجموعه‌ها در حیطه NFT، به یک عنصر اصلی در فرهنگ دارایی‌های رمزنگاری‌شده تبدیل شده است. اما این مجموعه همواره هدف اصلی کلاهبرداران، هکرها و سایر بازیکنان نامطلوب نیز بوده است.

Bored Ape هدفی آسان برای هکر‌ها

حملات هکری و سوء‌استفاده‌هایی که صاحبان مجموعه‌های Bored Ape را هدف قرار می‌دهند، چیز جدیدی نیست. با صورت گرفتن مطالعات موردی پیرامون این مجموعه در طول سال گذشته، طیف وسیعی از تلاش‌های موفقیت‌آمیز برای سوءاستفاده از BAYC، از جمله سرقت از بازیگر‌ هالیوود ست گرین (Seth Green) تا کل اکسپلویت‌های Discord را دیده‌ایم.

در حالی که در این رابطه هیچ تقصیری متوجه یوگا لبز (Yuga Labs) نیست، اما این سوءاستفاده‌ها همچنان به اهمیت حفظ امنیت کیف پول دارندگان این مجموعه محبوب NFT تأکید دارد. علاوه‌براین، این نوع سوءاستفاده‌ها فقط منحصر به Bored Ape Yacht Club نیست و معمولاً در تمام مجموعه‌های اصلی Blue Chip NFT اتفاق می‌افتد.

آخرین نمونه از این سوءاستفاده‌ها اواخر همین هفته رخ داد و شاهد سطوح باورنکردنی از حمله Social Engineering بودیم. این سرقت دوباره این موضوع مهم را به جامعه دارندگان این مجموعه گوشزد کرد که امروزه تنها دقیق بودن و توجه به جزئیات برای محافظت از دارایی‌های NFT خود کافی نیست. مجموعه Bored Ape Yacht Club یک جامعه عظیم و دنبال کنندگان مشتاق ایجاد کرده است و توکن اختصاصی آن نیز APE نام دارد.

ApeCoin چیست؟ و چطور این همه محبوب شد؟

جلوگیری از نفوذ هکر‌ها

نقص امنیتی در روزهای اخیر منجر به سرقت ۱۴ کلکسیون NFT از مجموعه Bored Ape Yacht Club متعلق به یک نفر شده است. این سرقت از طریق یک طرح پیچیده Social Engineering سطح بالا صورت گرفته است.

این حمله اخیر نشان‌دهنده به کارگیری جدید‌ترین و پیچیده‌ترین سطوح حملات هکری بوده و جزئیات دقیق و روند بی‌نقص این سرقت بسیار قابل‌توجه است. هکر به‌سرعت پس از سرقت این توکن‌ها توانست آن‌ها را با قیمت بالغ بر ۸۵۰ اتر (ETH) که معادل ۱ میلیون دلار است، به فروش برساند.

یک مجموعه توییت منتشرشده توسط تحلیلگر امنیتی محبوب Web3 با نام @Serpent، داستان را به‌طور دقیق و با جزئیات کامل شرح می‌دهد:

طرح سرقت اخیر که از نوع  Social Engineering است به این صورت بوده که، هکر خود را به عنوان مدیر بازیگران در یک استودیو فیلم‌سازی واقع در لس‌آنجلس معرفی می‌کند که به دنبال دریافت مجوز برای NFT با صرف هزینه‌ای قابل‌توجه است. در حالی که این استودیو وجود خارجی دارد، نام مستعاری که هکر استفاده می‌کند کاملاً جعلی بوده است. اما در نهایت هکر با مجموعه‌ای از دامنه‌های ایمیل جعلی، ساعت‌ها تماس، طرح‌های مشارکت جعلی و سایر ابزار در دسترس خود موفق به سرقت این مجموعه NFT شده است.

هکر حداقل ماه‌ها برای اجرای این طرح وقت صرف کرده ‌است. این سرقت نیز مثال دیگری است که برای نگه‌داری NFT های با ارزش دلاری بالا، ذخیره‌سازی در کیف پول‌های آفلاین (Cold Storage) امن‌ترین گزینه است، زیرا امضای قراردادها یا تعامل با آنها درصورتی‌که از قبل با اطمینان تأیید نشده باشند، می‌تواند یک خطر اساسی برای امنیت دارایی‌هایمان به وجود بیاورد. همانطور که سرپنت نیز در مجموعه توییت خود نتیجه‌گیری کرد، استفاده از کیف پول‌های متعدد، تأیید کردن هویت افراد و امضا نکردن قرارداد‌ها و یا تراکنش‌های تصادفی از جمله مهم‌ترین نکاتی است که باید توسط دارندگان NFT رعایت شود.