Các trò lừa đảo trên mạng xã hội đang phát triển mạnh trong không gian tiền điện tử và những người thu thập NFT đang mất tài sản vào tay các cuộc tấn công được thực hiện thông qua các tài khoản bị xâm nhập. Ví dụ mới nhất đã xảy ra vào đêm qua, với hàng chục NFT và khoảng 30.000 đô la tiền điện tử bị đánh cắp thông qua một trò lừa đảo được chia sẻ thông qua tài khoản của một nhà phát triển trò chơi Web3 nổi tiếng.
Vào thứ Tư, tài khoản Twitter của Gabriel Leydon – nhà đồng sáng lập và Giám đốc điều hành của Limit Break, công ty khởi nghiệp trò chơi đằng sau dự án Ethereum NFT lấy cảm hứng từ anime, DigiDaigaku, dường như đã bị một người dùng trái phép chiếm đoạt. Tài khoản đã tiến hành chia sẻ một liên kết đến hóa đơn quyền truy cập vào danh sách cho phép để đảm bảo rút tiền cho một DigiDaigaku NFT miễn phí.
Thay vào đó, khi người dùng tương tác với trang web và chấp thuận giao dịch được thúc đẩy bởi hợp đồng thông minh — tức là mã cung cấp năng lượng cho NFT và các ứng dụng phi tập trung tự trị — thì kẻ tấn công đã đánh cắp NFT và tiền điện tử từ ví tương ứng của họ. Các giao dịch được thực hiện trên mạng Blockchain không thể bị đảo ngược bởi bên thứ ba, giống như ngân hàng hoặc công ty phát hành thẻ tín dụng trong trường hợp gian lận hoặc trộm cắp.
Kẻ tấn công đã ăn cắp hàng chục NFT từ người dùng, có khả năng trị giá tổng cộng hàng chục nghìn đô la Ethereum. Giá trị nhất trong số đó cho đến nay là một NFT của Mutant Ape Yatch Club, mà kẻ tấn công đã nhanh chóng bán với giá 12,39 ETH (khoảng 19.100 đô la vào thời điểm đó). Ngoài ra, kẻ tấn công có thể đã lấy khoảng 30.000 đô la tiền điện tử từ người dùng.
Leydon đã khôi phục tài khoản Twitter và đổ lỗi cho nhà cung cấp dịch vụ di động AT&T trong một tin nhắn thoại qua tweet. Trong một tin nhắn trực tiếp tới Decrypt, Leydon tuyên bố rằng một nhân viên của AT&T “đã bỏ qua tất cả các biện pháp bảo mật của tôi và thực hiện hoán đổi SIM trái phép.”
Một cuộc tấn công hoán đổi SIM thường được sử dụng để bỏ qua các giao thức ủy quyền hai yếu tố trên tài khoản. Kẻ tấn công có thể chiếm đoạt số điện thoại di động được đề cập và sau đó sử dụng nó để truy cập vào các tài khoản được bảo vệ — bao gồm cả phương tiện truyền thông xã hội, nơi chúng có thể mạo danh chủ sở hữu tài khoản.
Leydon tuyên bố rằng một nhân viên đã “tiếp cận” các biện pháp bảo vệ được đặt cho tài khoản AT&T của anh ta và nói rằng Limit Break đang liên hệ với công ty về các cáo buộc. Các đại diện của AT&T đã không trả lời ngay yêu cầu bình luận của Decrypt .
Giám đốc điều hành của Limit Break nói với Decrypt rằng studio đang điều tra vụ tấn công và họ sẽ hoạt động để hỗ trợ những người dùng bị đánh cắp tài sản.
“Đó là một tình huống khủng khiếp, và một khi chúng tôi xác minh được người đó đã bị tấn công, chúng tôi sẽ giúp họ,” Leydon nói.
ZachXBT, thám tử Blockchain nổi tiếng, đã tweet rằng cuộc tấn công dường như là liên kết với Monkey Drainer, một kẻ lừa đảo gần đây đã cướp đi hàng triệu đô la trị giá của NFT và tài sản tiền điện tử.
Twitter đã bị bao vây bởi các cuộc tấn công tương tự trong vài tháng qua. Trong một số trường hợp, tài khoản của một nghệ sĩ NFT nổi tiếng hoặc tài khoản của người tạo dự án bị tấn công và được sử dụng để phát tán những trò gian lận được gọi là “người rút ví” này. Sự gia tăng của những trò gian lận này đã thúc đẩy một cuộc tranh luận về trách nhiệm của những người tạo Web3 để bồi thường cho người dùng bị mất tài sản.
Vào những lần khác, các tài khoản đã xác minh của người dùng không có liên kết — chẳng hạn như các nhà báo — đã bị xâm nhập, được đổi tên thành tài khoản dự án chính thức và được sử dụng để lan truyền khai thác. Điều đó xảy ra thường xuyên hơn vào đầu năm nay, đặc biệt là xung quanh các dự án như Azuki và Otherside, nhưng có vẻ như Twitter đã giải quyết bất kỳ lỗ hổng bảo mật nào tạo điều kiện thuận lợi cho việc khai thác tài khoản đã được xác minh đó.
Limit Break được thành lập vào năm 2021 bởi Leydon và Halbert Nakagawa, trước đây là đồng sáng lập của studio game di động Machine Zone, nơi đã sản xuất ra những tựa game thành công như Game of War: Fire Age và Mobile Strike. Công ty khởi nghiệp Web3 đã huy động được 200 triệu đô la, như được công bố vào tháng 8, từ các công ty như FTX, Coinbase Ventures và Paradigm.
