Mängijatele mõeldud avalik vestlusrakendus Discord on muutunud krüptoomanike seas populaarseks üle kogu maailma. Ründajad sihivad mitme populaarse NFT-projekti Discord-servereid.

Origin protokolli asutaja Josh Fraser jagas a lõim Twitteris selle kuu alguses, paljastades probleemi ja hoiatades kasutajat Discordi privaatkanalite terviklikkuse eest. Fraser lisas, et probleem suleti kiiresti "duplikaatprobleemina", kui see Discordi meeskonnale vastutustundlikult avaldatakse.

Fraseri sõnul lekib Discord API "iga serveri iga privaatkanali nime, kirjeldust, liikmete loendit ja tegevusandmeid". Ta selgitas, et komistas probleemi otsa automaatse skripti seadistamisel, et teavitada teda iga kord, kui kasutaja sisestab teatud märksõna.

Teine piiksuma jagas plokiahela küberturbefirma PeckShield, hoiatades kasutajaid Memelandi, RTFKT, PROOF/Moonbirdsi ja infrastruktuuriettevõtte Cyberconnect ohustatud NFT Discord Serveri eest.

Küberühendus ja memeland kinnitasid häkkimist oma Twitteri voogudes ja hoiatasid kasutajaid, et nad väldiksid Discordi mis tahes lingil klõpsamist. Cyberconnect hoiatab, et projekt ei küsi kunagi nende privaatvõtmeid. Samamoodi hoiatas Memeland kliente sõnumis olevate "võltslinkide" eest.

Memelandi meeskonnaliige märkis, et "lahkarvamuste robot (mee6) näib olevat ohustatud erinevates kõrgetasemelistes serverites." Mee6 robotit kasutavad serveri omanikud tervitussõnumite automatiseerimiseks ja serveri reeglite, sündmuste ja teemade teavitamiseks.

Paljude kõrgetasemeliste krüptoprojektide puhul, mis kasutavad Discordi, võib see teabeleke paljastada "veel teatamata partnerlussuhteid, eelseisvaid toodete turuletoomisi, vahetusnimekirju ja koordineerida mitme allkirjaga allkirjastajaid", nagu teatas Fraser.

Laastav mõju

Motherboardi andmetel võib kompromiteeritud Discordi serveribot põhjustada laastavaid tulemusi, kuna vastane võib postitada pahatahtliku lingi, mis maskeerub automatiseeritud robotiks ja meelitab kasutajaid seda avama, üks vale klõps võib põhjustada pöördumatut kahju individuaalsele sissetulekule ja kaaperdatud Discordi server. võib kujutada ohtu suurele publikule.

"See oleks nii usaldusväärne sööt, et olen kindel, et sajad või tuhanded inimesed langevad sellesse. […] Need robotid on turvalisuse osas tohutu vastutus,” selgitas Stephen Tong, plokiahela turvafirma Zellic kaasasutaja.

Rünnakute jada NFT ebakõla kanali vastu jätkub viimastel kuudel. Bored Ape Yacht Clubil, Nyokil, Shamanzil, Doodlesil ja Kaiju Kingzil olid oma Discordi kontod aprillis rikuti ja ohustati, ja OpenSea kontod olid mais häkitud.

Roger Grimes Knowbe4-st ütles: "Põhiline õppetund on see, et igaüks, kes on krüptovaluuta või NFT-de potentsiaalses rünnakuahelas, peab olema kaitstud nii, nagu oleks tegemist kõrge turvalisusega valitsusasutusega."

Lisaks soovitas Grimes, et krüptovaluutateenused peaksid kõigi tarkvarade ja seadmete jaoks kasutusele võtma kõrge turvalisusega konfiguratsioonid. Käivitage sisselogimiseks mitmefaktoriline autentimine (MFA), parandage kogu haavatav tarkvara, andke haridust ja "käivitage rakenduse juhtimise probleeme, mida toetab turvaline hüperviisori kiip".