Tóm tắt ngắn gọn, một hacker đã xâm nhập tài khoản Instagram chính thức của Bored Ape Yacht Club (BAYC) và dùng nó để gửi đường link, lừa người dùng chuyển số token trị giá hàng triệu USD ra khỏi ví điện tử. Vụ hack đã được đội ngũ BAYC xác nhận trên Twitter.
Có vẻ như tài khoản BAYC đã gửi mail quảng cáo sẽ gửi “airdrop” (về cơ bản là tặng token miễn phí) cho bất kỳ người dùng nào chọn kết nối ví MetaMask của họ qua đường link đính kèm.
Thật không may, bài cảnh báo của BAYC xuất hiện quá muộn đối với một số người nắm giữ NFT Bored Ape cực kỳ đắt tiền, cùng với nhiều NFT có giá trị khác bị đánh cắp trong vụ hack.
Theo ảnh chụp màn hình do một người dùng Twitter chia sẻ, trang OpenSea tài khoản của hacker nhận được hơn một chục NFT từ các dự án Bored Ape, Mutant Ape và Bored Ape Kennel Club. Tất cả được cho là lấy từ những người dùng đã nhấp vào link lừa đảo kết nối ví của họ.
Hiện tại, trang hồ sơ liên kết với địa chỉ ví của hacker không còn hiển thị trên OpenSea. Ông Allie Mack, người đứng đầu bộ phận truyền thông của OpenSea xác nhận với trang tin The Verge rằng tài khoản của hacker đã bị khóa. Vì các điều khoản dịch vụ của OpenSea cấm lấy các vật phẩm một cách gian lận hoặc không được phép.
Nhưng với bản chất phi tập trung của NFT, nội dung trong ví của hacker vẫn có thể được xem trên các nền tảng khác. Theo NFT Rarible, ví chứa 134 NFT, bao gồm Bored Apes và nhiều vật phẩm khác từ các dự án được thực hiện bởi Yuga Labs (những người tạo ra BAYC) như Mutant Apes, Bored Ape Kennel Club,…
Tính riêng lẻ, mỗi chú Ape bị đánh cắp đều có giá 6 con số dựa trên giao dịch gần đây nhất. Cụ thể, Ape # 7203, được bán lần cuối cách đây 4 tháng với giá 47,9 ETH – tương đương 138.000 USD theo giá quy đổi hiện tại; Ape # 6778 được bán lần cuối với giá 88,88 ETH (256.200 USD); Ape # 6178 được bán với giá 90 ETH (259.400 USD) và Ape # 6623 được bán 3 tháng trước với giá 123 ETH (354.500 USD). Tổng giá trị của bốn chú Ape bị đánh cắp vào khoảng hơn 1 triệu USD.
Vẫn chưa biết bằng cách nào mà tin tặc có thể xâm nhập tài khoản Instagram của dự án. Theo tuyên bố đăng trên Twitter, Yuga Labs nói rằng tính năng xác thực hai yếu tố đã được kích hoạt tại thời điểm xảy ra cuộc tấn công và việc bảo mật tài khoản Instagram cũng tuân theo các phương pháp tốt nhất. Yuga Labs cũng cho biết nhóm đang tích cực liên hệ với những người dùng bị ảnh hưởng.
NFT thường được giữ trong ví điện thoại thông minh, thay vì những môi trường an toàn hơn, vì ứng dụng ví tiền điện tử phi tập trung phổ biến MetaMask chỉ hỗ trợ hiển thị NFT trên thiết bị di động. Nó cũng khuyến khích người dùng quản lý NFT thông qua ứng dụng điện thoại thông minh, hơn là tiện ích mở rộng dựa trên trình duyệt. Thế nên, việc sử dụng Instagram để gửi đường link lừa đảo là một cách thức hiệu quả để đánh cắp NFT, bởi link liên kết sẽ có nhiều khả năng nhận được tương tác từ ví di động hơn.
Hiện vẫn chưa biết liệu các nạn nhân của vụ hack có được dự án bồi thường cho những thiệt hại của họ hay không.
Theo The Verge