Equipe do Bored Ape Yacht Club tem Discord hackeado e NFT roubada

A equipe responsável pelo Bored Ape Yacht Club — a coleção de NFTs com o maior valor de mercado atualmente — confirmou pelo Twitter que teve o servidor do Discord hackeado. Além da coleção mais famosa, o servidor abriga membros do Mutant Ape Yacht Club e Mutant Ape Kennel Club, outras duas coleções de NFTs da equipe Yuga Labs.

Veja no Twitter

STAY SAFE. Do not mint anything from any Discord right now. A webhook in our Discord was briefly compromised. We caught it immediately but please know: we are not doing any April Fools stealth mints / airdrops etc. Other Discords are also being attacked right now.

April 1, 2022

De acordo com a empresa de segurança de blockchain PeckShield, o ataque se iniciou através de um link de phishing no canal Mutant Ape Kennel Club. O link estava disfarçado de uma "cunhagem furtiva de uma NFT" e acabou roubando o Mutant Ape Yacht Club #8662 de um dos usuários. 

A conta do BAYC disse para os membros ficarem alertas e não utilizarem nenhum link do Discord. A equipe afirmou que o phishing foi "descoberto imediatamente", mas reforçou que não está fazendo nenhuma pegadinha de 1º de abril nem "cunhagens furtivas".

A NFT Mutant Ape Yacht Club #8662 foi roubada após o ataque

Como o ataque foi realizado?

O ataque teria utilizado o bot de suporte "Ticket Tool", do Discord. Os responsáveis pelo bot se pronunciaram no Twitter, afirmando que o bot não havia sido comprometido, mas que havia um bug permitindo explorar uma falha. A equipe prometeu investigar o ocorrido.

Veja no Twitter

A recent update I made to the add command had a bug allowing for some type of permission exploit..

I've reverted the update to the previous uncompromised version and will be looking into exactly how this happened.

The bot itself is not compromised beyond a very unfortunate bug.

April 1, 2022

Segundo a BAYC, o ataque em questão não é um caso isolado e outros servidores do Discord envolvidos como NFT também foram comprometidos recentemente.