Một đám khỉ đen chán chường lại bị đánh cắp, nhưng đừng đổ lỗi cho Web3

Buzz

Ngày cập nhật gần nhất: 15/7/2025

Đọc tóm tắt

- Một vụ tấn công mạng đã xảy ra đối với Bored Ape Yacht Club, dẫn đến việc đánh cắp NFTs trị giá khoảng 2.4 triệu USD.
- Kẻ tấn công đã sử dụng mánh khóe qua mạng xã hội để lừa người dùng Instagram kết nối với MetaMask, nhằm chiếm đoạt tài sản số.
- Jake Moore từ ESET nhấn mạnh sự nguy hiểm của các cuộc tấn công này đối với thế giới NFT.
- Discord và Twitter của BAYC đã từng bị xâm nhập, cho thấy sự dễ dàng của việc tấn công các dự án web3.

Một đám khỉ chán chường lại bị đánh cắp, nhưng đừng đổ lỗi cho Web3

Điều này lại xảy ra. Kẻ lừa đảo đã tấn công vũ trụ của Bored Ape Yacht Club (BAYC) và đánh cắp một số token. Nhưng đừng lo, bạn không thể đổ lỗi cho web3. Không. Hoàn toàn không.

Những hacker đã sử dụng mánh khóe quen thuộc của web 2.0 để hack tài khoản Instagram của dự án và mời rủ mọi người nhấp vào các liên kết không được yêu cầu.

Dưới đây là những gì đã xảy ra: sau khi tài khoản BAYC bị hack, kẻ tấn công đăng một thông điệp về việc đòi đất trong thế giới ảo của dự án thông qua một airdrop. Nó yêu cầu mọi người kết nối với MetaMask (hoặc bất kỳ ví tiền điện tử tương đương nào khác) để đòi đất.

đây là nội dung của liên kết đó đối với những người tò mò pic.twitter.com/noG3TCniXQ

— jatuur (@jatuur) ngày 25 tháng 4, 2022

Tuy nhiên, đó chỉ là một mánh để đánh cắp NFTs. Tài khoản Twitter của BAYC đã đăng một cảnh báo về điều này, nhưng đến lúc đó, những hacker đã thành công trong việc hút một số lượng NFT.

Mặc dù khó kiểm chứng, một số bài đăng trên Twitter cho biết kẻ tấn công đã có thể đánh cắp hàng trăm NFT.

Sau đó, một đồng sáng lập BAYC đã làm rõ rằng bốn Bored Ape, sáu Mutant Ape và ba Bored Ape Kennel NFT đã bị đánh cắp trong vụ lừa đảo qua mạng. Giá trị tổng cộng của tất cả chúng? Nhưng, ước tính là 2.4 triệu đô la.

Ông cũng đề cập rằng tài khoản Instagram được bảo vệ bằng xác minh hai yếu tố, nhưng không đăng thông tin về sự đ compromit.

Hoạt động ví của hacker cho thấy rằng họ đã di chuyển một số NFT bị đánh cắp. Trong khi đó, chúng tôi đã hỏi Yuga Labs, chủ sở hữu của BAYC, liệu họ có đang bồi thường cho chủ sở hữu bị mất tài sản hay không. Chúng tôi sẽ cập nhật câu chuyện nếu chúng tôi nhận được phản hồi.

Jake Moore, Cố vấn An ninh mạng Toàn cầu tại ESET, nói rằng các cuộc tấn công Instagram như vậy không mới, nhưng giá trị của tài sản số có thể gây ra những hậu quả lớn cho nạn nhân:

“Thế giới dường như đang bước vào một động lực rất lạ, nơi NFT giờ đây có giá trị [một] số tiền lớn, nhưng với sự gia tăng này, không thể tránh khỏi có các tên tội phạm mạng rình rập không quá xa sau.

“Cuộc tấn công Instagram không có gì mới, nhưng thường mang một yếu tố của kỹ thuật xã hội trong việc phát triển con người đã được chọn mục tiêu trong yêu cầu mã hoặc làm thay đổi và chặn tin nhắn. Thật không may, tuy nhiên, việc chiếm đóng này đã có hậu quả lớn và dẫn đến một vụ cướp số lượng lớn tài sản số.”

Một trong những dự án uy tín nhất của web3 hiện đã trở thành mục tiêu của một số cuộc tấn công lừa đảo. Đầu tháng này, Discord của dự án đã bị xâm phạm.

Khi Yuga Labs tung ra ApeCoin vào tháng Ba, kẻ lừa đảo đã tận dụng điều đó, hack các hồ sơ Twitter đã được xác minh và đánh cắp tài sản trị giá gần một triệu đô la từ nhiều nạn nhân khác nhau.

Điều này chứng tỏ rằng tội phạm mạng chỉ cần sử dụng các phương pháp đã được chứng minh như lừa đảo để mời người ta kết nối ví tiền điện tử của họ - họ không cần phải sử dụng bất kỳ hệ thống phức tạp nào để đánh sập công nghệ web3.

Do đó, các dự án NFT có giá trị cao như BAYC cần thực hiện bước phụ để đảm bảo người giữ được bảo vệ. Nếu họ đã trở thành nạn nhân của một liên kết lừa đảo không mời, nhóm có thể đưa ra lời khuyên chung như, “Không nhấp vào các liên kết đáng ngờ,” nhưng bạn không thể làm như vậy khi chính Instagram của bạn đưa ra các liên kết giả mạo.

Nhà đầu tư tiền điện tử Jordan Fish - người sử dụng tên Cobie trên Twitter - đề xuất rằng Yuga Labs nên xem xét việc cung cấp dịch vụ giữ giữa mà người giữ cần phải cung cấp chứng minh khi họ thực sự muốn rút NFT của họ.

Yuga Labs hoặc ApeCoinDAO nên tạo dịch vụ giữ giữa ngay. Họ là những người duy nhất có sự tin tưởng và phân phối.

Họ có thể cung cấp một "Custodied Ape NFT" chính thức, không phải là một biên nhận có thể đổi, nhưng hoạt động như bằng chứng về con khỉ, để chủ sở hữu BAYC vẫn có thể khoe với hot wallet. https://t.co/d0dgek4zNw

— Cobie (@cobie) 25 Tháng 4, 2022

Quan trọng lưu ý rằng nếu bạn sử dụng Metamask hoặc bất kỳ ví tự giữ nào, trách nhiệm về an ninh đều thuộc về bạn. Và những người có thể không muốn bỏ lỡ airdrops có thể bỏ qua an ninh vào những khoảnh khắc đó.

Cobie chỉ ra rằng chúng ta cần giảng dạy các phương pháp tự giữ tốt hơn, vì không phải tất cả người dùng đều đủ tinh tế để chú ý mọi lúc. Nhưng, tất nhiên, việc đạt được điều này khó khăn hơn nhiều so với nói.

Các câu hỏi thường gặp

Đám khỉ chán chường bị đánh cắp là gì và ai là thủ phạm?

Một nhóm kẻ lừa đảo đã tấn công vũ trụ của Bored Ape Yacht Club (BAYC), đánh cắp một số NFT bằng cách hack tài khoản Instagram của dự án.

Cách mà hacker đã lấy cắp NFT từ BAYC là gì?

Hacker đã đăng một thông điệp mời mọi người kết nối với MetaMask để nhận airdrop, dẫn đến việc đánh cắp nhiều NFT từ tài khoản BAYC.

Giá trị tổng cộng của NFT bị đánh cắp là bao nhiêu?

Giá trị tổng cộng của các NFT bị đánh cắp, bao gồm bốn Bored Ape và sáu Mutant Ape, ước tính lên đến 2.4 triệu đô la.

Yuga Labs có bồi thường cho nạn nhân bị đánh cắp NFT không?

Hiện tại, chúng tôi chưa nhận được phản hồi từ Yuga Labs về việc liệu họ có bồi thường cho các chủ sở hữu NFT bị mất hay không.

Hacker sử dụng phương pháp gì để thực hiện cuộc tấn công này?

Hacker đã sử dụng mánh khóe quen thuộc của web 2.0, như kỹ thuật xã hội, để dụ người dùng kết nối ví tiền điện tử và lấy cắp tài sản.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua email: [email protected]