Эта атака является последней в длинной череде эксплойтов, направленных на пользователей Discord с помощью фальшивых «скрытых» NFT-дропов.
Гонконгская игровая и венчурная компания Animoca Brands и её дочерняя студия Blowfish Studios пообещали пользователям вернуть 265 ETH (1,1 млн долларов США), украденные в результате мошеннической продажи неделимого токена (NFT) на Discord.
Мошенническое событие минтинга произошло примерно в 3 утра AEDT 19 ноября на сервере Discord Phantom Galaxies. За это время было зафиксировано 1571 фальшивая транзакция минтинга в течение примерно трех часов.
Phantom Galaxies — это предстоящая австралийская игра, разрабатываемая Blowfish Studios. Сервер Discord Phantom Galaxies насчитывает 94 000 участников.
Всё более частое явление на Discord, хакеры получили контроль над официальным сервером Phantom Galaxies, используя вредоносного бота, который скомпрометировал двухфакторную аутентификацию учётной записи администратора. Получив контроль над сервером Discord, хакеры заблокировали все учётные записи персонала, советников и модераторов сообщества.
Затем хакеры начали публиковать объявления, утверждая, что игра запускает немедленное сюрпризное «скрытое» событие минтинга NFT. Пользователи были перенаправлены на мошенническую «платформу минтинга NFT Phantom Galaxies», которая взимала с пользователей 0,1 ETH в качестве «платы за минтинг».
Скриншот мошеннического веб-сайта, где пользователи могли «минтить» NFT PhantomGalaxies.
Председатель Animoca Brands Ят Сю предупредил подписчиков о фальшивом NFT-дропе в твитте примерно в 4 утра AEDT 19 ноября.
В 5:22 утра он опубликовал другой твит, заявив, что пострадавшие клиенты будут «соответственно компенсированы». Это было подтверждено 24 ноября в заявлении Animoca, в котором говорится, что подробности о компенсации будут объявлены в ближайшее время.
«Woodz», менеджер проектов из Калифорнии для предстоящего NFT-проекта Terra Obscura, потерял 1000 долларов США в результате этой атаки. Они сообщили Cointelegraph, что осознали, что их обманули, вскоре после «минтинга» двух несуществующих NFT:
«Когда я это делало, показалось немного странным. Газ был необычно низким, и контракт выглядел по-другому. Я знал, что что-то не так, но не был уверен, что именно.»
Woodz добавил, что они «обычно не просто переходят по ссылкам», но попали в ловушку хакера из-за способа размещения объявления в официальном канале объявлений.
Атака на Phantom Galaxies произошла после похожей недавней атаки 11 ноября с участием известного NFT-художника Beeple. Пользователи думали, что они записываются на очень доступный NFT-дроп, приуроченный к его второму аукциону Christie’s.
Злоумышленник притворился одним из администраторов канала и ботом объявлений Beeple, чтобы продвигать фальшивый NFT-дроп от Beeple на Nifty Gateway. Beeple с тех пор удалил ссылки на Discord из своего профиля в Twitter, и другие ссылки на сервер, похоже, больше не работают.
Согласно отчету от 21 октября от кибербезопасной компании RiskIQ, Discord становится все более популярной платформой для киберпреступники. Исследователи RiskIQ обнаружили 27 уникальных типов вредоносного ПО, размещенных на серверах CDN Discord.
В апреле Talos Intelligence аналогично обнаружило, что хакеры все чаще используют платформы типа Discord для эксплуатации пользователей, которые находились дома из-за глобальных ограничений COVID-19.
«Атакующие используют платформы для совместной работы, такие как Discord и Slack, чтобы оставаться незамеченными и уклоняться от организационных защит», — написали они в то время.