Офіційний обліковий запис Bored Ape Yacht Club (BAYC) в Instagram зламали та розмістили фішингове посилання на переклад токенів з гаманців користувачів.
Злом проходив за допомогою реклами «аеродропу» – безплатної роздачі токенів для користувачів, які під’єднають гаманці MetaMask. Коли контроль над обліковим записом повернули, BAYC опублікував попередження про шахрайство, але деякі користувачі встигли перейти за посиланням.
Знімок з екрана, опублікований у Twitter, показує сторінку OpenSea для облікового запису хакера, який отримав більше десятка NFT від проєктів Bored Ape, Mutant Ape та Bored Ape Kennel Club. Пізніше обліковий запис було заблоковано.
Еллі Мак, голова відділу комунікацій OpenSea, підтвердила The Verge, що хакер був заблокований, оскільки умови обслуговування майданчика забороняють шахрайське отримання предметів або інше їхнє вилучення без дозволу власників.
Але що знаходилося в хакерському гаманці, можна побачити на інших криптоплатформах. За даними NFT Rarible, хакер мав 134 NFT, у тому числі чотири вкрадені токени Bored Apes та інші предмети проєктів Yuga Labs — творців BAYC.
Вартість кожного окремого токена Bored Ape може досягати шестизначної суми, якщо виходити з останніх продажів. Найдешевший токен, #7203, продали чотири місяці тому за 47,9 ETH ($138 тис). Найціннішим же токеном став Bored Ape #6623, який продали три місяці тому за 123 ETH ($354,5 тис).
Yuga Labs з’ясовують, як хакеру вдалося зламати обліковий запис. Власники стверджують, що було включено двофакторну автентифікацію та дотримувалися всіх правил безпеки.
Однією з проблем, яка дозволила хакеру обдурити користувачів, є те, що NFT часто зберігаються в криптогаманцях смартфонів, оскільки популярна програма MetaMask підтримує показ токенів тільки на мобільних пристроях. Це також спонукає користувачів керувати NFT через програму для смартфона, що дозволяє хакерам обманювати за допомогою фішингового посилання.