Selon Yuga Labs, le Bored Ape Yacht Club (BAYC) a été piraté samedi. Le pirate a dérobé l'équivalent de 200 ETH en jetons non fongibles, soit environ 360 000 $.
La faille de sécurité chez Yuga Labs est survenue après le piratage du compte Discord de Boris Vagner, responsable de la communauté du projet. Ce piratage a permis au pirate d'accéder au compte et de commettre des actes malveillants. Il a notamment utilisé le canal Discord piraté pour diffuser des liens d'hameçonnage sur les canaux officiels du BAYC. Il a également attaqué un projet de métavers appelé Otherside en utilisant la même méthode.
L'utilisateur Twitter NFTherder a été le premier à révéler publiquement le piratage. Il estime également que 145 ETH (environ 260 000 USD) ont disparu avec les NFT. De plus, il a pu trac les actifs volés jusqu'à quatre portefeuilles différents.
Yuga Labs reconnaît une violation de son serveur Discord
Dans un tweet officiel, Yuga Labs a reconnu avoir subi une faille de sécurité. L'entreprise a toutefois précisé qu'une enquête était en cours. Yuga Labs a publié une mise à jour 11 heures après le tweet de NFTHerder.
Boris est également le manager de son frère, Richard Vagner, multi-instrumentiste lauréat d'un Grammy Award. Boris et Richard Vagner ont cofondé un NFT appelé la Spoiled Banana Society (SPS). Selon Richard, un individu malveillant a également publié un lien vers un site d'hameçonnage sur le serveur Discord de la SPS. Le message a ensuite été supprimé. Dans un message publié sur Discord à 9h00 UTC, Richard Vagner a déclaré ce qui suit.
Salut à tous, nous avons subi une attaque il y a une heure. Espérons que personne n'ait cliqué sur des liens. Les comptes Discord et de Boris ont été récupérés et nous pouvons donc continuer à les utiliser. C'est un miracle qu'il n'ait pas tout effacé du serveur.
Richard Vagner
On ignore si l'attaque a affecté des personnes sur la chaîne SBS. Richard a néanmoins demandé aux utilisateurs de Discord de lui fournir des informations à ce sujet. Il a indiqué que tous les navigateurs seraient rétablis dans les prochains jours. En attendant, il a invité les clients à le contacter s'ils constatent un problème suite à son intervention.
Par ailleurs, les Vagner sont les propriétaires d'un label discographique appelé Metaverse Records. Richard a confirmé que la faille de sécurité sur les serveurs Discord de BAYC et Otherside a failli affecter celui de SBS.
Les violations de données se poursuivent
Il s'agit du troisième cas où un individu malveillant a réussi à usurper l'identité d'un compte géré par Yuga Labs pour commettre un vol. Le premierdent remonte au 1er avril. Le compte Mutant Ape Yacht Club #8662 a disparu suite à la publication d'un lien d'hameçonnage sur le serveur Discord du projet.
dent impliquant Yuga Labs s'est produit le 25 avril : les comptes Instagram et Discord du Bored Ape Yacht Club ont publié un faux lien vers une création de jetons Otherside. L'acteur Seth Green est devenu une victime notoire de cette arnaque par hameçonnage qui a sévi sur le marché des NFT la semaine dernière. Malheureusement, il a été escroqué et a perdu ses jetons Bored Ape.
L'un des fondateurs de BAYC a réagi à l'incident de samedi. Il a pointé du doigt Discord, l'accusant d'être responsable de la faille de sécurité. Gordon Goner a déclaré sur Twitter que Discord ne répond pas aux besoins des communautés Web 3. Ces dernières recherchent donc désespérément une meilleure plateforme qui privilégie la sécurité. Cependant, d'autres fondateurs estiment que les clients sont responsables de la perte de sécurité de leurs données bancaires.
Les investisseurs affirment que les clients approuvent des transactions frauduleuses effectuées à l'aide de leurs clés. Il est donc injuste d'incriminer uniquement Discord. Même en utilisant un autre client de sécurité, une erreur de leur part ne les protégera pas des attaques. Les cas d'escroquerie sont en forte augmentation dans le secteur des NFT. Les escrocs mènent des attaques sur la plupart des plateformes. Les utilisateurs doivent rester vigilants et éviter de cliquer sur les liens. La peur de rater une opportunité ne doit pas vous faire perdre tous vos investissements.
