به گزارش کریپتو اسلیت، هکرها در تاریخ 25 آوریل (5 اردیبهشت) کنترل حساب اینستاگرام BAYC را در اختیار گرفتند و 24 توکن میمون کسل و 30 توکن میمون جهش یافته به ارزش تقریبی 13.7 میلیون دلار را سرقت کردند.
کلاهبرداران برای این کار پس از دسترسی به حساب کاربری BAYC در اینستاگرام، پستی ایجاد کردند. همچنین در آن به عرضه متاورس این پروژه در تاریخ 30 آوریل (10 اردیبهشت) اشاره کردند. این پست، ایردراپ زمین در این متاورس را اعلام می کرد و به کاربران درخواست داد که کیف پول های خود را به لینک های جعلی در این پست متصل کنند.
هکرها توکن های NFT میمون کسل و میمون جهش یافته موجود در کیف پول های متصل به این پلتفرم جعلی را به کیف پول جدیدی انتقال دادند. بر اساس گزارش اپن سی تقریبا 54 توکن سرقت شد. خبر هک صفحه اینستاگرام BAYC ابتدا در شبکه اجتماعی ردیت اعلام شد و سپس حساب رسمی BAYC آن را تایید کرد. BAYC اعلام کرد که حساب اینستاگرام آنها هک شد. و به مدت یک روز، صدور توکن NFT را به حالت تعلیق درمیآورد.
حساب کاربری BAYC در این پست تاکید کرد که هیچ گونه ایردراپی را راه اندازی نکرده است و از کاربران خواست که بر روی لینک های با این موضوع کلیک نکنند و کیف پول خود را به آن متصل نکنند.
چگونه طعمه هکرها نشویم؟
در ماه های اخیر، جامعه BAYC دائما هدف کلاهبرداران قرار گرفت. در تاریخ 1 آوریل (12 فروردین)، سرور دیسکورد BAYC هک شد. هکر مذکور از دروغ اول آوریل برای جلب توجه استفاده کرد و سپس لینک های مخرب صدور توکن منتشر کرد. جی چو (Jay Chou) خواننده معروف تایوانی، دارنده توکن شماره 8622 از مجموعه MAYC بود که قربانی این هک شد و توکن NFT خود به ارزش $550,000 را از دست داد.
چهار روز بعد، یکی از دارندگان ناشناس توکن BAYC، سه توکن NFT خود را در کلاهبرداری دیگری از دست داد. کلاهبرداران توکن شماره 1584 مجموعه BAYC و توکنهای شماره 13168 و 13169 مجموعه MAYC را سرقت کردند. هکرها این توکن ها را با 5 درصد کمتر از کف قیمت این مجموعه ها به فروش رساندند. در ماه دسامبر 2021، یکی از کلکسیونرهای توکن های مجموعه میمون های کسل قربانی فیشینگ شد و 8 توکن BAYC و 7 توکن MAYC را با کلیک بر روی قرارداد فیشینگ از دست داد. این قرارداد فیشینگ خود را به صورت برنامه های غیر متمرکز توکن NFT نشان داد. ارزش این توکن ها تقریبا 2.2 میلیون دلار است.
روش هکرها در این سرقت ها چه بود؟
هکرها با شیوه نامعلومی به حساب اینستاگرام مجموعه BAYC دسترسی پیدا کردند و پس از آن پستی را با موضوع ایردراپ زمین های متاورس پروژه منتشر کردند. این پست حاوی لینکی جعلی برای دریافت این ایردراپ بود و به محض اینکه قربانی کیف پول خود را به آن متصل می کرد موجودی آن به آدرس دیگری منتقل می شد.
چگونه میتوان از اینگونه اتفاقات جلوگیری کرد؟
همواره دقت کنید که خبرهایی همچون ایردراپ یک پروژه از تمامی حساب های کاربری رسمی آن پروژه در شبکه های اجتماعی مختلف اعلام می شود. در درجه بعدی لینک های واقعی مربوط به یک پروژه معمولا در دامنه سایت اصلی پروژه ایجاد می شود. بنابراین دامنه آدرس آن نباید با آدرس سایت پروژه یکی باشد.