I truffatori rubano $ 150K di criptovalute dal progetto NFT con l’hack di Discord

Gli acquirenti che speravano di ottenere un NFT in edizione limitata da Fractal, un nuovo marketplace per NFT di oggetti di gioco, martedì mattina hanno ricevuto una spiacevole e costosa sorpresa quando è stato rivelato che un collegamento inviato tramite il canale Discord ufficiale del progetto era una truffa organizzata per rubare criptovalute.

Gli utenti che hanno seguito il collegamento e hanno collegato i loro portafogli crittografici, aspettandosi di ricevere un NFT, hanno invece scoperto che le loro disponibilità di criptovaluta Solana (SOL) sono state svuotate e trasferite sul conto del truffatore. Un’analisi pubblicata su Medium da Tim Cotten, fondatore di un altro progetto di gioco NFT, ha stimato il valore del SOL rubato essere di circa $ 150.000.

Il frattale è un progetto di avvio dal co-fondatore di Twitch Justin Kan specializzato nell’acquisto e nella vendita di NFT che rappresentano risorse in-game. È stato annunciato all’inizio di dicembre e ha rapidamente accumulato un seguito di oltre 100.000 utenti tramite Discord, rendendolo un bersaglio per il tipo di truffatori che hanno afflitto i progetti NFT sin dall’inizio.

La notizia è arrivata su Twitter quando un tweet di Kan ha informato i follower che il bot di annunci sul server Discord di Fractal era stato violato. Un altro tweet dall’account Twitter principale di Fractal confermato che un link fraudolento è stato pubblicato attraverso il canale.

L’attacco ha approfittato degli utenti che speravano di coniare NFT, il termine dato all’acquisto di token nel momento in cui vengono creati per la prima volta da un determinato progetto, piuttosto che acquistarli sul mercato secondario in un secondo momento.

Sebbene il post del bot Discord fosse falso, l’account Twitter ufficiale di Fractal aveva postato un tweet solo poche ore prima, suggerendo un imminente airdrop: un processo in cui un progetto di crittografia distribuisce un numero di token, di solito agli utenti che sono i primi ad adottare. Poiché la domanda di token coniate e airdrop è spesso molto elevata, la pressione sugli utenti affinché si muovano rapidamente quando vengono effettuati annunci istantanei crea un vettore di attacco che i truffatori sono fin troppo felici di sfruttare.

Sebbene la crittografia alla base delle criptovalute e degli NFT sia altamente sicura, la vasta rete di siti Web e applicazioni che compongono il più ampio ecosistema crittografico contiene molti possibili vettori di attacco.

Un tweet dall’account Fractal ufficiale ha suggerito che il messaggio fraudolento era stato pubblicato su Discord tramite un webhook. I webhook sono una funzionalità della progettazione di applicazioni web che consente a un’applicazione di ascoltare un messaggio inviato a un particolare URL e attivare un evento in risposta, ad esempio, la pubblicazione su un determinato canale Discord.

Se un webhook non è protetto con misure di autenticazione aggiuntive, chiunque abbia l’URL è in grado di postare sul canale. Non è chiaro quali precauzioni siano state prese dal team dietro Fractal per evitare che ciò accada.

Sulla scia dell’hack, a post sul blog di Fractal ha annunciato che le vittime che avevano perso denaro sarebbero state completamente risarcite. Mentre si scusava brevemente, il post sul blog sembrava anche mettere parte dell’onere della sicurezza sui follower del progetto, dicendo:

“Se qualcosa non ti sembra giusto nelle criptovalute, per favore non procedere, anche se all’inizio sembra legittimo. Dobbiamo usare il nostro miglior giudizio in quanto non esiste un “pulsante di annullamento” nelle criptovalute”.

Fractal non aveva risposto a una richiesta di commento inviata tramite il modulo di contatto ufficiale dell’azienda al momento della stampa.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.