Am Montag, CityDAO – die Gruppe das kaufte 40 Morgen Wyoming in der Hoffnung, „eine Stadt auf der Ethereum-Blockchain aufzubauen“ – gab bekannt, dass sein Discord-Server gehackt wurde und die Gelder der Mitglieder infolgedessen erfolgreich gestohlen wurden.
„NOTFALLHINWEIS. Ein CityDAO Discord-Administratorkonto wurde gehackt. ES GIBT KEINEN LANDDROP. VERBINDEN SIE IHRE WALLET NICHT“, erklärte der Twitter-Account des Projekts.
CityDAO ist eine „dezentralisierte autonome Organisation“, die hofft, eine Blockchain-Stadt gemeinsam zu regieren, indem sie Staatsbürgerschafts- und Governance-Token im Austausch für den Kauf eines „Land-NFT“ anbietet, das Eigentumsrechte an einem Grundstück verleiht. Wie viele andere Kryptowährungs-, NFT- und DAO-Projekte lebt die Community von CityDAO von Discord, einem beliebten Dienst, der hauptsächlich für Gamer entwickelt wurde, aber zu einem unverzichtbaren Bestandteil des Krypto-Ökosystems geworden ist. Auf Discord veröffentlicht CityDAO Ankündigungen, Updates, beantwortet Fragen, hostet eine Community und gibt Warnungen für „Land Drops“ oder Gelegenheiten zum Kauf von NFTs heraus, die Landparzellen darstellen.
Der Angriff funktionierte, indem das Discord-Konto eines Moderators, eines Kernteammitglieds und frühen Investors, der an Lyons800 teilnahm, kompromittiert wurde. Sie detailliert den Anstellwinkel in einem Twitter-Thread am nächsten Tag.
Zuerst hat der Angreifer einen manipulierten Screenshot gepostet, der ein Gespräch mit Lyons800 auf einem anderen Discord-Server zeigt, und behauptet, dass er dort Leute betrügen würde. Lyons800 bot an, zu beweisen, dass er es nicht war, und nahm einen Anruf mit dem Betrüger auf, der den Moderator davon überzeugte, sie ihre Konsole inspizieren zu lassen. Von dort erhielt der Betrüger das Discord-Authentifizierungstoken von Lyons800, mit dem er das Konto kapern konnte. In einem Tweet beschrieb Lyons800 dies als „eine lächerliche Sicherheitsverletzung von Discord“.
Von hier aus startete der Betrüger einen Webhook-Angriff, um CityDAO und BaconDAO auszunutzen – eine Gruppe, die sich selbst als eine bezeichnet „Gilde der Investoren“ das seine Mitglieder ausbildet – wo Lyons800 Mitbegründer ist. Webhooks werden am besten als Tools betrachtet, die Discord-Server mit anderen Websites verbinden, und werden häufig zum Senden automatisierter Nachrichten und Updates verwendet.
Der Hacker nutzte seine Kontrolle über das Konto von Lyons800 und Discord, um gefälschte Ankündigungen über Kanäle mit Bots herauszugeben, die böswillige Links für einen gefälschten „Land Drop“ von CityDAO-NFTs enthielten, die Landparzellen darstellen.
Innerhalb eines Tages ist die Hacker-Brieftasche erhielt 29,67 ETH (knapp 100.000 $) und hat weiterhin Gelder erhalten. In den letzten 3 Tagen hat der Hacker 20 ETH an den Tumbler Tornado.Cash überwiesen, um zu verbergen, wo die Gelder schließlich gelandet sind, und 11,6 ETH an eine andere Adresse. 14 ETH verbleiben im Wallet. Es ist unklar, ob alle Gelder von CityDAO-Investoren stammen, und die Adresse wurde im Etherscan-Explorer als Betrug markiert.
Dies ist nicht der erste Webhook-Angriff, der verwendet wird, um ETH aus Discord-Communities zu stehlen. Im Oktober konnte ein 17-Jähriger 88 ETH stehlen aus den Discord-Kanälen eines NFT-Projekts namens CreatureToadz, gab es aber zurück, um nicht öffentlich doxxed zu werden.
Die Leichtigkeit, mit der Gelder gestohlen und eine Community betrogen wurden – die meisten ETH-Transfers erfolgten innerhalb einer Stunde – legt nahe, dass der Bau einer Stadt auf der Blockchain möglicherweise nicht das klügste Unterfangen ist, wenn Sie auch eine Gaming-Chat-Anwendung verwenden alles tun. Wie Lyons betont, Discord scheint das schwächste Glied zu sein Hier wurde als Verstoß ein lächerlicher Exploit verwendet, der die Zwei-Faktor-Authentifizierung und sein Passwort umging. Und doch, DAOs und NFT-Projekte aller Art Verlassen Sie sich auf Discord, um Community-Mitglieder zuverlässig zu verbinden, Updates anzukündigen, Marketingkampagnen zu organisieren und über neue Vorschläge für ihre Projekte abzustimmen.
„Und schließlich, seien Sie vorsichtig mit Ihrem Token auf @discord und mit Benutzern, die Nicht-ASCII-Zeichen verwenden, um Benutzernamen zu fälschen“, warnt Lyons am Ende seines erklärenden Threads. „Es ist unglaublich unsicher und mehrere Exploits dieser Art sind auf verschiedenen Servern passiert. Bringen Sie sich nicht in Gefahr!”
CityDao und Discord reagierten nicht sofort auf die Bitte von Motherboard um einen Kommentar.