A Yuga Labs, empresa responsável pela coleção de tokens não-fungíveis (NFTs) conhecida como Bored Ape Yatch Club, confirmou uma falha de segurança explorada nesta segunda-feira (25).
Cibecriminosos conseguiram invadir a conta oficial no Instagram e os servidores do Discord mantidos pela coleção, colocando nesses canais um link falso que levou ao roubo de criptoativos.
O esquema é um clássico exemplo de phishing: o endereço tinha a falsa promessa de um envio gratuito de tokens do futuro metaverso Otherside e exigia o login na plataforma a partir da carteira virtual de criptomoedas MetaMask. Quem colocou os dados no site teve as credenciais roubadas e NFTs transferidos para outros donos.
Damn the BAYC Instagram hacker stole 4 BAYC, 7 MAYC, 3 BAKC, 1 CloneX, & more ( 91 NFTs in total)
— zachxbt (@zachxbt) April 25, 2022
Hacker Address:https://t.co/0ngJ4SKV4G pic.twitter.com/9U2OGPKMmP
Em nota oficial, a Yuga Labs afirma que detectou a atividade não autorizada rapidamente e removeu os endereços fraudulentos, além de habilitar por padrão a verificação em dois fatores nas contas. Durante a segunda-feira, a criação de NFTs da coleção foi suspensa.
Quanto foi roubado?
Até o momento, há uma divergência nas informações sobre os valores e a quantidade de NFTs que teriam sido roubados com a invasão. Análises iniciais na blockchain que hospeda as transações da coleção notaram uma alta movimentação de tokens e um prejuízo que poderia ultrapassar os US$ 13,7 milhões.
A YugaLabs alega que o golpe foi muito menor do que o inicialmente divulgado: foram roubados quatro NFTs da coleção Bored Ape, seis da Mutant Apes e três do grupo BAKC, além de outros tokens menos valiosos. O prejuízo total teria sido de aproximadamente US$ 3 milhões, com muitos usuários apenas trocando a conta que hospeda tokens por motivos de segurança.
No começo de abril, o servidor do Discord da Bored Ape Yacht Club já havia sido hackeado e utilizado em outro golpe parecido. No final de março, a plataforma de validação de transações do jogo Axie Infinity também foi comprometida, em um esquema que desviou US$ 625 milhões.
Categorias
