idNSA.id - Dua proyek NFT menjadi korban serangan yang sama. Seperti banyak proyek di dunia crypto, koleksi NFT Monkey Kingdom dan pasar aset dalam game Fractal, keduanya sangat terlibat dengan komunitas mereka melalui server obrolan Discord. Kedua proyek akan mendistribusikan hadiah kepada anggota komunitas mereka: Monkey Kingdom melalui presale NFT pada hari ke-21 dan Fractal melalui token airdrop — pada dasarnya distribusi gratis untuk pendukung awal — beberapa hari setelahnya.
Kemudian, bencana melanda. Postingan muncul di channel "announcements" resmi dari setiap proyek yang mengklaim bahwa NFT mints akan memberi penghargaan kepada anggota komunitas dengan NFT edisi terbatas. Ratusan orang tidak melewatkan kesempatan itu — tetapi bagi mereka yang mengikuti tautan dan menghubungkan dompet kripto mereka, kejutan mahal sedang menunggu. Alih-alih menerima NFT, dompet cryptocurrency Solana terkuras, yang digunakan kedua proyek untuk pembelian.
Dalam waktu satu jam, sebuah posting Twitter, pertama dari Monkey Kingdom dan kemudian dari Fractal, memberi tahu pengikut bahwa server Discord mereka telah diretas; berita tentang NFT mints adalah palsu, link penipuan phishing. Dalam kasus Fractal, para penipu lolos dengan cryptocurrency senilai sekitar $150.000 Untuk Mongkey Kingdom, perkiraan total dilaporkan menjadi $1,3 juta.
Tidak ada serangan yang menargetkan blockchain atau token itu sendiri. Sebaliknya, para pencuri mengeksploitasi kelemahan dalam infrastruktur yang digunakan untuk menjual token — khususnya, ruang obrolan Discord tempat para penggemar NFT berkumpul. Ini adalah pengingat dari kelemahan yang terus-menerus dalam ekonomi NFT yang sedang tumbuh, di mana penurunan yang mengejutkan telah membuat pembeli bergerak cepat atau berisiko kehilangan. Tetapi teknik yang sama yang meningkatkan penjualan juga dapat membuka pintu bagi peretas — dan dalam kasus ini, satu kompromi dapat menyebar ke lebih dari satu komunitas sekaligus.
Dalam kasus ini, pencuri NFT telah menargetkan fitur yang dikenal sebagai webhook. Webhook digunakan oleh banyak aplikasi web (termasuk Discord) untuk mendengarkan pesan yang dikirim ke URL tertentu dan memicu suatu peristiwa sebagai tanggapan, seperti memposting konten ke saluran tertentu. Anda dapat menganggap webhook seperti nomor telepon rahasia, pengidentifikasi unik yang dapat "dipanggil" (atau, dalam perkiraan yang lebih dekat, "dikirim SMS") untuk terhubung ke aplikasi yang lain.
Dengan mendapatkan akses ke webhook milik server Fractal dan Monkey Kingdom Discord, para peretas dapat mengirim pesan yang disiarkan ke semua anggota saluran tertentu: sebuah fitur yang dimaksudkan untuk digunakan hanya untuk komunikasi resmi dari tim proyek. Di sinilah "announcements" palsu itu berasal dan mengapa itu menunjuk ke alamat penipuan. Jika dipikir-pikir, konten tersebut seharusnya menimbulkan beberapa tanda bahaya — tetapi mengingat metode distribusinya, tampaknya cukup sah sehingga banyak yang tertipu.
Discord webhook digunakan untuk mengotomatiskan pesan berdasarkan aktivitas di aplikasi lain: misalnya, dokumentasi resmi menjelaskan pembuatan bot yang memberi tahu saluran tentang komitmen GitHub baru. Tapi sangat mudah untuk kehilangan jejak bot tersebut di tengah berbagai integrasi layanan pihak ketiga, dan yang terpenting, tidak ada cara untuk mematikan semuanya sekaligus jika Anda telah diretas. Hasilnya adalah peluang besar bagi penyerang dan kewajiban bagi komunitas Discord yang tidak memperhatikan integrasi mereka.
Seorang juru bicara Discord mengatakan perusahaan memperingatkan orang-orang untuk berhati-hati saat memberikan akses ke perangkat dan informasi pribadi mereka kepada orang lain dan menunjuk ke panduan yang tersedia melalui pusat sumber daya Akademi Moderator.
“Discord memperhatikan keselamatan semua pengguna dan komunitas dengan sangat serius, termasuk serangan rekayasa sosial seperti ini,” kata Peter Day, manajer senior komunikasi korporat di Discord. “Meskipun ada kontrol yang jelas, kami selalu bekerja untuk mempersulit serangan ini terjadi dan akan terus berinvestasi dalam pendidikan dan alat untuk membantu melindungi pengguna kami.”
Asal usul peretasan tampaknya adalah layanan yang disebut Grape Network, yang menyediakan alat manajemen komunitas untuk Fractal, Monkey Kingdom, dan ratusan proyek crypto lainnya yang menggunakan Discord. Kira-kira seminggu sebelum pencurian cryptocurrency, seorang karyawan Grape Network dengan nama layar Arximedis telah ditangkap oleh penipuan terpisah di server Discord lain sepenuhnya, yang ini milik Solana.
Dengan memanipulasi moderator Solana terlebih dahulu, kemudian Arximedis sendiri, melalui serangan phishing yang melibatkan pemblokiran target, para peretas berhasil mendapatkan token akses akun yang memungkinkan mereka melakukan tindakan atas nama administrator Grape. Itu sudah cukup untuk membiarkan mereka membuat jalan untuk mengirim pesan ke saluran Perselisihan Fractal dan Monkey Kingdom. Dengan dasar yang ada, para peretas tetap diam dan menunggu waktu untuk menyerang.
Pendiri Grape Network Dean Pappas mengkonfirmasi bahwa rekannya telah menjadi target peretasan awal dan peretasan pertama ini telah dieksploitasi untuk membuat webhook yang digunakan pada peretasan kedua. “Ini adalah salah satu hal yang sangat menyakiti Anda, baik dari segi harga diri maupun profesionalisme,” kata Pappas. “Ini situasi yang sangat sulit.”
Dalam sebuah pernyataan yang dikirim melalui Twitter, kepala proyek Mongkey Kingdom yang meminta untuk disebut dengan nama samaran "King of Monkey" mengatakan bahwa langkah-langkah keamanan tambahan sekarang telah dilakukan untuk menghindari serangan di masa depan dan memastikan keamanan pengguna. The king juga menunjuk pada uang yang dikumpulkan oleh proyek untuk mengembalikan uang para korban penipuan.
Proyek NFT sangat rentan terhadap serangan semacam ini karena bergerak sangat cepat. Proyek hyped sering terjual habis dalam beberapa jam — atau terkadang beberapa menit — jadi pengadopsi awal dikondisikan untuk bertindak cepat. Dan Discord, sekarang platform masuk untuk komunitas NFT, adalah tempat intel awal untuk pra-penjualan dan airdrop dirilis terlebih dahulu. Itu berarti anggota komunitas siap untuk segera pada pengumuman apa pun yang memberi mereka keunggulan, yang pada gilirannya, memungkinkan scammers memanfaatkan pesan palsu dengan efek yang menghancurkan.
Dalam penurunan yang paling cepat, membuat transaksi yang sukses bisa jadi sulit bahkan untuk penggerak awal. Pemeriksaan Chainalysis dari satu proyek populer menunjukkan bahwa lebih dari 26.000 transaksi mint yang gagal terjadi dalam satu jam pertama setelah peluncuran, yang masing-masing menghabiskan biaya transaksi yang tidak dapat dikembalikan. Semua mengatakan, lebih dari $4 juta dihabiskan untuk biaya gas untuk transaksi yang gagal.
Belum ada indikasi bahwa kegilaan NFT akan melambat pada tahun 2022, yang berarti tidak akan ada kekurangan proyek baru yang ingin ditingkatkan dengan menggunakan solusi siap pakai untuk membangun infrastruktur mereka. Ada tanda-tanda bahwa Discord, denyut nadi sosial komunitas NFT, juga merupakan tambang emas bagi individu yang tidak bermoral yang ingin memisahkan nilai dari koin yang diperoleh dengan susah payah — tetapi mungkin seiring dengan peningkatan teknik moderasi dan administrasi server di komunitas, manajemen yang lebih ketat area masalah (seperti webhook dan plugin pihak ketiga) akan mengurangi risiko.
Kabar baiknya adalah, untuk dua proyek yang terpengaruh oleh peretasan khusus ini, mungkin ada hari-hari yang lebih cerah di depan. Fraktal, pasar aset game, ditayangkan pada hari kedua terakhir tahun 2021. Dan setelah mengganti uang yang hilang oleh anggota, Monkey Kingdom meluncurkan kembali jalur NFT yang terganggu oleh peretasan. Komunitas itu setia, kata The king of mongkey , dan penggemar sekali lagi siap untuk membuat kesepakatan.
