Am 4. Juni erlitten die beliebten nicht fungiblen Token oder NFTs, das Projekt Bored Ape Yacht Club (BAYC), seine dritte Sicherheitskompromittierung in diesem Jahr. NFTs im Wert von fast 142 Ether (250.000 US-Dollar) wurden gestohlen, nachdem Hacker Zugriff auf das Discord-Konto eines BAYC-Community-Managers erhalten und eine Nachricht mit einem Link zu einer gefälschten Website gepostet hatten.
Der Link bewarb ein zeitlich begrenztes kostenloses NFT-Werbegeschenk für Benutzer, die ihre Wallets verbanden, die dann von NFTs geleert wurden. Bei zwei früheren Gelegenheiten im April brachen Hacker in die Discord- und Instagram-Seiten von BAYC ein und schafften es, beim zweiten Versuch über einen Phishing-Link 91 NFTs im Wert von damals über 1,3 Millionen US-Dollar abzuschöpfen.
Wie gesagt von der Blockchain-Sicherheitsfirma CertiK verlegten Hacker gestohlene Gelder schnell auf die Verschleierungsplattform Tornado Cash, wodurch es unmöglich wurde, weitere Geldflüsse in der Blockchain zu verfolgen. In einer Erklärung gegenüber Cointelegraph erklärten Quellen bei CertiK, so legitim das Projekt auch erscheinen mag, „NFT-Inhaber sollten auch sehr misstrauisch gegenüber jedem sein, der behauptet, kostenlose Assets anzubieten, da es sich oft um Phishing-Angriffe handeln kann“. Außerdem schrieb CeriK:
„Im Fall des Angriffs vom 4. Juni wies die böswillige Kopie der Website einige kleine Unterschiede auf. Erstens gab es auf der Phishing-Website keine Links zu Social-Media-Websites gezielte beliebte NFT-Projekte.”
Als Vorsichtsmaßnahme empfahl Certik Krypto-Enthusiasten, auf solchen Seiten nach subtilen Besonderheiten zu suchen, da sie häufig ein Indikator für böswillige Aktivitäten sind. „Zumindest sollten sich Benutzer, die sich mit solchen Werbegeschenken beschäftigen, immer bemühen, die Legitimität der Website zu bestätigen, indem sie sie mit einer bekannten und bestätigten Website vergleichen und nach Abweichungen suchen“, schlossen sie.