- Erneut wurde der Discord-Server des Bored Ape Yacht Club (BAYC) kompromittiert.
- Hacker konnten sich Zugriff auf das Konto eines Angestellten von Yuga Labs verschaffen.
- Danach veröffentlichten sie über diesen Account einen Phishing-Link im Discord-Channel.
Die Community des BAYC muss erneut bluten und wieder stolpert man über die lückenhafte Sicherheit von Discord. Eigentlich handelt es sich dabei um ein VoIP- und Chatprogramm für Gamer und somit ist es in vieler Hinsicht für den Krypto-Space ungeeignet. Denn wer einmal einen Channel mit Krypto-Bezug betritt, der wird, sofern er sich nicht selber abschirmt, direkt mit Spamnachrichten zugeschüttet.
Doch in dem vorliegenden Fall war es für die Opfer schwierig, wenn nicht gar unmöglich, sich zu schützen. Denn Unbekannte verschafften sich Zugang zu dem Discord-Konto eines Mitarbeiters von Yuga Labs, der mit dem Community-Management betraut war, und konnten somit eine scheinbar authentische Nachricht direkt an die BAYC-Community adressieren. Tatsächlich war in dieser Botschaft jedoch ein Link zu einer Phishing-Seite enthalten, wo die ahnungslosen Opfer den Zugriff auf ihr Wallet preisgaben.
Unter dem Vorwand dort weitere NFTs erstellen zu können, willigten die Opfer in Abfrage der Webseite ein. In der Konsequenz wurden die darin befindlichen NFTs geraubt.
Insgesamt 32 NFTs gestohlen
Die auf diesem Weg erbeuteten NFTs setzten der oder die Täter schnell auf dem Sekundärmarkt für umgerechnet 360.000 US-Dollar um. Damit dürfte man also auf einen ganzen Teil der Beute verzichtet haben, um zu verhindern, dass der Handel mit diesen NFTs auf irgendeine Weise gestört oder unterbunden wird.
Außerdem wird geschätzt, dass rund 145 ETH ebenfalls zu der Beute gehörten. Um ihre Spuren zu verschleiern, wurden die erbeuteten Ether mit Tornado Cash gemixt. Dabei handelt es sich um einen Tumbler für Ethereum, der Transaktionen durchmischt und dadurch eine Rückverfolgung der Transaktionen erheblich erschwert.
Dies ist schon der zweite Vorfall dieser Art, denn am 1. April wurde der Discord-Channel zum Ziel eines Angriffs und einige Wochen später der Instagram-Account von BAYC. Auch einzelne Anleger werden für Kriminelle zum Ziel. So verlor der Schauspieler Seth Green erst im Mai hochpreisige NFTs, darunter auch aus der BAYC-Kollektion.