NFT 項目 Wizard Pass 的 Discord 社群驚傳遭盜,駭客假冒官方身份發送假連結,騙取對用戶錢包的訪問權限,迄今已有無聊猿(BAYC)等知名 NFT 項目被盜。Wizard Pass 官方呼籲,不要點擊推特或伺服器中的任何連結,並強調正在研究解決此問題的解決方案。
通訊軟體 Discord 及加密貨幣威脅緩解系統 Sentinel 共同創辦人 Serpent 14 日在推特上警告,NFT 項目 Wizard Pass 的 Discord 社群遭到駭客入侵,駭客假冒官方身份發送假連結,騙取對用戶錢包的訪問權限,迄今已有無聊猿(BAYC)等知名 NFT 項目被盜。
Serpent 指出,詐騙者在 Discord 上假冒官方身份,提供社群假 Mint 連結,如果用戶支付了 0.1 顆以太幣(ETH),將會發現自己一無所獲,而且更恐怖的是,詐騙者有一個腳本,可以找到用戶最有價值的 NFT ,並能夠把 NFT 轉走。
針對詐騙者是如何完成此舉措,Serpent 解釋道:
在點擊假連結發送 0.1 顆 ETH 後,網站會出現另一個 Metamask 提示,它會請求代幣批准,在確認交易後,受害者實質上是在提供詐騙者對自己 NFT 資產的完全訪問權限,詐騙者可將 NFT 轉移到自己的錢包當中。
這不是什麼新鮮事,這已經發生了一段時間。大量的 BAYC、Doodles、Clone X 已通過這種方式被盜,這也是另一個 NFT 項目 thelittles 此前發生的情況,導致價值 120 顆以上的 ETH 資產被盜。
3/ This isn’t something new, this has been happening for a while. Tons of BAYCs, Doodles, Clone Xs have been stolen through this method. This is what happened with @thelittlesnft resulting in 120+ ETH worth of assets being stolen.
— Serpent (@SerpentAU) March 14, 2022
對於今後要如何防範這種類型的詐騙,Serpent 給出 5 點建議:
要吸取的教訓:
– 當然,所有偷偷摸摸的 mint 都是假的,尤其是當一個項目已經售罄時。
– 始終將您最有價值的 NFT 存放在冷錢包中。
– 非常小心您確認代幣批准的是什麼網站,這是不能粗心大意的事情。
– 項目方需要優先考慮 Discord 的安全性,這不是一件可以掉以輕心的事情。
– 如果您掉入這類陷阱,請立即前往 revoke.cash 並撤銷合約的訪問權限。
– Projects need to prioritize Discord security. This isn’t something to take lightly.
– If you fall for this, go to https://t.co/sNwzdH8wiJ straight away and revoke access from the contract.— Serpent (@SerpentAU) March 14, 2022
Wizard Pass 官方正研究解決方案
而在 Discord 社群遭到入侵後,Wizard Pass 官方稍早表示,正在研究解決方案:
我們意識到 NFT Wizard 伺服器已被駭。請不要點擊推特或伺服器中的任何連結。
我們正在研究解決此問題的解決方案!
We are aware that the NFT Wizard Server has be hacked. Please DO NOT click on any links on Twitter OR in the server. We are working on a solution to fix this!
— Wizard Pass (@WizardPassNFT) March 14, 2022
Sentinel 分享常見詐騙手法
事實上,Sentinel 早在上月就曾分享近期 NFT 項目 Discord 伺服器被攻陷的常見手法,並呼籲所有項目方必讀。Sentinel 指出,受害者通常會被詐騙方要求為某些內容添加書籤,首先打開 Discord,接著打開書籤,但您正添加書籤和運行的是 JavaScript 代碼。
Sentinel 警告,該代碼會讀取管理者的 Discord 本地儲存數據,其中包含管理者的「DIscord token」,這將導致詐騙者獲取管理者的「DIscord token」,並通過 webhook(詐騙者創建的私人通道,用來收集被盜憑證)將其發送給詐騙者本身,進而掌控伺服器。
對於要如何防範,Sentinel 給出的建議是:
如何防止這種情況發生?
不要為任何東西添加書籤,如果您確實中了這個騙局,請重置您的密碼,以刪除詐騙者對您帳戶的訪問權限,提醒您的團隊,盡快聯繫讓您的伺服器獲得審核,過去我們也遇到團隊遭遇這種情況的案例。羞於承認被欺騙、洩露了自己的憑證嗎?我們都是人類,這些都是複雜的社交工程手段,不要感到羞恥,否則你的小錯誤會變成 10 萬美元的錯誤。
9/? ashamed to admit that they were tricked into leaking their credentials. We are all humans, and these are sophisticated social engineering methods. Do not feel ashamed, otherwise your small mistake will turn into a hundred thousand dollar mistake.
— Sentinel (@sentinelwtf) February 23, 2022
