NFT Bored Apes senilai 200 Ether ($359.000) kabarnya telah dicuri setelah server Discord milik proyek itu dibajak pada hari Sabtu (4/6/22) lalu. Perusahaan induk Bored Ape Yacht Club (BAYC), yaitu Yuga Labs, mengonfirmasi jumlah tersebut pada akun Twitter resminya sekitar 11 jam setelah mereka mendapat serangan dari peretas. Menurut analis on-chain dan pengguna Twitter @NFTherder yang pertama kali menyadari hal tersebut, disebutkan bahwa sang peretas dapat menembus keamanan akun Discord milik manajer proyek BAYC Boris Vagner.
Pada akun Twitter BAYC, Yuga Labs menyatakan bahwa pembajakan pada server Discord-nya hanya berlangsung sebentar. Pasalnya, tim proyek tersebut berhasil menangani serangan peretas dengan cepat. Namun, mereka masih akan melakukan investigasi lebih lanjut mengenai NFT yang dicuri sang pelaku.
NFTherder mengatakan bahwa setelah sang pelaku berhasil melakukan aksi pembajakannya, ia kemudian memposting link phishing dengan berpura-pura menjadi Vagner untuk menipu kolektor Bored Ape agar mereka dengan suka rela mengklik tautan tersebut dan mengirim NFT (non-fungible token) mereka ke alamat sang pelaku. Vagner sendiri baru saja dipromosikan menjadi manajer sosial dan komunitas pada bulan Februari lalu.
Terlepas dari langkah-langkah keamanan yang tepat melalui otentikasi dua faktor, sang pelaku kemungkinan telah menghindari sistem keamanan proyek tersebut dengan cara mendapatkan token ID Discord dari korban yang telah ia targetkan.
Baca Juga : Kemitraan The Sandbox dan Ikonia dalam NFT Legenda Sepak Bola Italia Andrea Pirlo
Satu hal yang bisa menjawab tentang metode yang digunakan di balik serangan tersebut adalah bahwa token ID Discord Vagner juga telah diretas. Dengan begitu, sang pelaku dapat menggunakannya untuk melakukan log-in beberapa kali secara lokal tanpa perlu memverifikasi identitas seseorang. Hal inilah yang bisa memungkinkan pelaku mendapatkan akses ke akun Vagner.
Terjadinya pencurian tersebut menjadi kali ketiga BAYC mengalami peretasan. Peretasan pertama terjadi pada 1 April ketika NFT Mutant Ape Yacht Club dicuri melalui tautan phishing di Discord. Beberapa waktu kemudian, yaitu pada 25 April, akun Discord dan Instagram BAYC juga diretas. Hal tersebut terjadi ketika tautan situs penipuan yang meniru situs resmi BAYC berhasil menipu pengguna agar menyerahkan NFT senilai jutaan dolar
Sumber : blockworks.co