Le piratage a eu lieu après que le gestionnaire de communauté du projet, Boris Vagner, ait vu son compte Discord compromis, ce que l'attaquant a ensuite utilisé pour poster des liens d'hameçonnage dans les canaux Discord du BAYC officiel et de son projet de métavers connexe appelé Otherside.
La nouvelle du piratage a été rapportée pour la première fois par l'utilisateur de Twitter @NFTherder, qui estime également que 145 ETH (environ 260 000 $) ont été volés avec les NFT, et qui a retracé les fonds volés dans quatre portefeuilles distincts.
https://twitter.com/NFTherder/status/1533037408144572417?s=20&t=eBpQ7vAs-5HY7nUegeywrg
Yuga Labs a confirmé plus tard l'exploit dans un tweet de son propre chef, en disant qu'il enquête toujours activement sur l'incident. Il l'a fait 11 heures après le tweet de NFTHerder.
M. Vagner est également le manager de son frère, le multi-instrumentiste Richard Vagner, lauréat d'un Grammy, qui a cofondé avec Boris un club de fantasy football NFT appelé Spoiled Banana Society (SPS). L'attaquant a également posté un lien d'hameçonnage sur le canal Discord de SPS, mais le message a été supprimé par la suite, a déclaré Richard.
« Hey @tous, nous avons été piratés il y a une heure, espérons que personne n'a cliqué sur un lien« , a déclaré Richard Vagner dans un message Discord à 09:00 UTC. « Nous avons repris le contrôle du discord et du compte de Boris, Dieu merci, il n'a pas supprimé tout le serveur« .
On ne sait pas si quelqu'un dans le canal SBS a été affecté, bien que Richard ait demandé aux membres de Discord des informations relatives à l'attaque.
« Nous allons rétablir tous les onglets dans les jours à venir et nous vous ferons savoir s'il y a autre chose qu'il a modifié« , a-t-il déclaré.
Les Vagners dirigent également un label de musique appelé Metaverse Records. Dans le même message sur le Discord de SBS, Richard a confirmé indépendamment que les Discords de BAYC et d'Otherside ont également été « piratés« .
« S'il vous plaît, restez en sécurité« , a-t-il écrit.
C'est la troisième fois qu'un hacker parvient à se faire passer pour un compte géré par Yuga Labs afin de voler les fonds des utilisateurs. La première fois, c'était le 1er avril, lorsque le Mutant Ape Yacht Club #8662 a été volé grâce à un lien d'hameçonnage posté dans le Discord du projet, et la deuxième fois, le 25 avril, après que les comptes Instagram et Discord de Bored Ape Yacht Club ont posté un faux lien vers une frappe de monnaie Otherside.
La semaine dernière, l'acteur Seth Green est devenu un exemple frappant du type d'hameçonnage qui sévit dans le secteur NFT, lorsque quelqu'un a réussi à l'escroquer de son Bored Ape.
En réponse à l'incident de samedi, l'un des fondateurs de BAYC a imputé à Discord la responsabilité de ce manque de sécurité.
« Discord ne fonctionne pas pour les communautés du Web 3« , a déclaré Gordon Goner dans un tweet. « Nous avons besoin d'une meilleure plateforme qui met la sécurité au premier plan. »
Discord isn't working for web3 communities. We need a better platform that puts security first.
— GordonGoner.eth (@GordonGoner) June 4, 2022
Cependant, un autre fondateur de projet de crypto a blâmé les utilisateurs eux-mêmes pour avoir compromis leurs portefeuilles.
» Vous avez perdu votre NFT parce que vous avez signé une transaction malveillante avec votre clé « , a écrit Steve Fink. » Arrêtez de blâmer Discord, un autre client ne vous évitera pas de répéter les mêmes erreurs. »
you didn't lose your NFT because you used Discord
you lost your NFT because you signed a malicious transaction with your key
stop blaming Discord, another client won't save you from repeating the same mistakes
— evets.eth ⌐◨-◨ (@stevefink) June 4, 2022
