4 Haziran’da, popüler nonfunible token veya NFT, Bored Ape Yacht Club (BAYC) projesi bu yıl üçüncü güvenlik açığını yaşadı. Bilgisayar korsanları bir BAYC topluluk yöneticisinin Discord hesabına erişip sahte bir web sitesine bağlantı içeren bir mesaj gönderdikten sonra yaklaşık 142 Ether (ETH) (250.000 $) değerinde NFT çalındı.
Bağlantı, cüzdanlarını bağlayan ve daha sonra NFT’leri boşaltılan kullanıcılara sınırlı süreli ücretsiz bir NFT hediyesinin reklamını yaptı. Nisan ayında önceki iki olay sırasında, bilgisayar korsanları BAYC’nin Discord ve Instagram sayfalarını ihlal etti ve bir kimlik avı bağlantısı aracılığıyla ikinci deneme sırasında değeri 1,3 milyon doların üzerinde olan 91 NFT’yi sifonlamayı başardı.
Blockchain güvenlik firması CertiK tarafından söylendiği gibi, bilgisayar korsanları çalınan fonları hızlı bir şekilde gizleme platformu Tornado Cash’e taşıyarak blok zincirinde daha fazla fon akışını izlemeyi imkansız hale getirdi. CertiK kaynakları, Cointelegraph’a yaptıkları açıklamada, proje ne kadar meşru görünse de, “NFT sahipleri, ücretsiz varlıklar sunduğunu iddia eden herkesten oldukça şüphelenmeli, çünkü bunlar genellikle oltalama saldırıları olabilir.” Ayrıca CertiK şunları yazdı:
“4 Haziran saldırısı durumunda, kötü niyetli karbon kopya sitenin bazı küçük farklılıkları vardı. İlk olarak, phishing sitesinde sosyal medya sitelerine bağlantı yoktu. Ayrıca “ücretsiz arazi talep et” başlıklı bir sekme eklendi ve özellikle hedeflenen popüler NFT projeleri.”
Certik, ihtiyati tedbir olarak kripto meraklılarının bu tür sitelerde genellikle kötü niyetli faaliyetlerin bir göstergesi olduğu için incelikli özellikler aramasını tavsiye etti. “En azından, bu tür eşantiyonlarla uğraşan kullanıcılar, siteyi bilinen ve onaylanmış bir siteyle karşılaştırarak ve herhangi bir tutarsızlık arayarak sitenin meşruiyetini doğrulamak için her zaman çaba göstermelidir.”
