Một hacker đã đánh cắp số NFT trị giá hàng triệu đô la sau khi làm xâm nhập vào tài khoản Instagram chính thức của Bored Ape Yacht Club (BAYC) và sử dụng nó để đăng một liên kết lừa đảo chuyển token ra khỏi ví tiền điện tử của người dùng.
Vụ hack đã được BAYC tiết lộ trên Twitter ngay trước 10 giờ sáng hôm thứ Hai theo giờ địa phương. Tweet ghi là: “Sẽ chẳng có gì cho hôm nay. Có vẻ như Instagram của BAYC đã bị hack.”
Một tweet khác từ một người dùng không liên quan với dự án tuyên bố sẽ đăng các hình ảnh đã được đăng từ tài khoản của BAYC, quảng bá một “airdrop” — về cơ bản là một phần thưởng token miễn phí — cho bất kỳ người dùng nào kết nối ví MetaMask của họ.
Thật không may, cảnh báo của BAYC đã đến quá muộn đối với một số người sở hữu loại NFT Bored Ape cực kỳ đắt tiền này, cùng với nhiều NFT có giá trị khác bị đánh cắp trong vụ hack. Một ảnh chụp màn hình được đăng bởi một người dùng Twitter cho thấy một trang OpenSea nơi tài khoản của tin tặc nhận được hàng tá NFT từ các dự án Bored Ape, Mutant Ape và Bored Ape Kennel Club — tất cả có lẽ được lấy từ những người dùng đã kết nối ví của họ sau khi nhấp vào liên kết lừa đảo.
Trang hồ sơ gắn với địa chỉ ví của tên hacker đã không còn hiển thị trên OpenSea tại thời điểm xuất bản. Người đứng đầu bộ phận truyền thông của OpenSea Allie Mack đã xác nhận với The Verge rằng tài khoản của hacker đã bị cấm trên nền tảng này, vì các điều khoản dịch vụ của OpenSea đã bị chặn để gian lận nhằm lấy các vật phẩm hoặc lấy chúng mà không có sự cho phép
Nhưng với bản chất phi tập trung của NFT, những thứ nằm trong ví của hacker vẫn có thể được xem trên các nền tảng khác. Theo những gì có thể được nhìn thấy thông qua nền tảng NFT Rarible, ví có 134 NFT, trong đó có bốn token Bored Apes và nhiều vật phẩm khác từ các dự án được thực hiện bởi Yuga Labs — những người sáng tạo ra BAYC — như Mutant Apes và Bored Ape Kennel Club.
Tính riêng ra thì, mỗi một NFT Ape bị đánh cắp có giá trị tính đến hàng triệu đô theo giá bán được cập nhật gần đây nhất. Token có giá thấp nhất, #7203, được bán lần cuối cách đây bốn tháng với giá 47,9 ETH — tương đương 138.000 USD theo giá trao đổi hiện tại. APE #6778 được bán lần cuối với giá 88,88 ETH (256.200 USD), trong khi APE #6178 được bán với giá 90 ETH hoặc 259.400 USD. Và Bored Ape #6623 là token có giá trị nhất trong tất cả, được bán ba tháng trước với giá 123 ETH (354.500 USD) — có nghĩa là nói chung tổng giá trị của bốn token Ape bị đánh cắp chỉ là hơn 1 triệu USD.
Hiện vẫn chưa rõ bằng cách nào hacker đã có thể xâm nhập vào tài khoản Instagram của dự án. Trong một tuyên bố gửi đến The Verge qua email và cũng được đăng trên Twitter, Yuga Labs cho biết rằng cơ chế xác thực đa yếu tố đã được kích hoạt tại thời điểm xảy ra vụ tấn công và độ bảo mật của Instagram đang ở trạng thái tốt nhất. Yuga Labs cũng cho biết rằng nhóm đang tích cực làm việc để liên lạc với người dùng bị ảnh hưởng.
Mặc dù NFT có thể được mua và bán với số tiền lớn, chúng thường được giữ trong ví điện tử thay vì môi trường an toàn hơn vì ứng dụng ví tiền điện tử phi tập trung phổ biến MetaMask chỉ hỗ trợ hiển thị NFT trên điện thoại di động. Nó cũng khuyến khích người dùng quản lý NFT thông qua ứng dụng trên di động thay vì các tiện ích mở rộng trên trình duyệt web. Điều này có nghĩa là việc sử dụng Instagram để phân phối đường liên kết lừa đảo là một cách hiệu quả để đánh cắp NFT, vì liên kết lừa đảo có nhiều khả năng được tương tác từ ví di động.
Mặc dù các chuyên gia bảo mật trong không gian tiền mã hóa luôn cảnh báo chủ sở hữu NFT đừng bao giờ kết nối ví của họ với một bên thứ ba không xác định hoặc không đáng tin cậy, thực tế là liên kết lừa đảo đã được gửi qua tài khoản mạng xã hội BAYC chính thức có thể thuyết phục các nạn nhân rằng nó hợp pháp, đặt ra những câu hỏi khó khăn về chính xác lỗi nằm ở đâu.
Yuga Labs đã không trả lời email từ The Verge để trả lời cho câu hỏi liệu các nạn nhân của vụ hack có được dự án bồi thường cho tổn thất của họ hay không.
Bài: Trí Hiếu- Dẫn từ The Verge
