Ein Discord-Bot, der häufig von NFT-Projekten verwendet wird, insbesondere das sehr beliebte (und erst kürzlich gehackte) Spiel Axie Infinity, wurde kompromittiert, was dazu führte, dass betrügerische Nachrichten an Benutzer weitergeleitet wurden. Ein Hack des Bots „Mee6“, der zur Moderation von Discord-Kanälen verwendet wird, führte dazu, dass in diesen Communities betrügerische Nachrichten weitergeleitet wurden, wobei sich die Hacker im Fall des Axie Infinity-Vorfalls als einer der Mitbegründer des Spiels ausgaben.
Discord-Bot-Angriff führt zu Betrugsversuchen bei mehreren Diensten
Neben Axie Infinity führte der Angriff auf den Mee6-Discord-Bot zu Spam-Nachrichten in mehreren anderen NFT-Diensten: der von 9GAG unterstützten Memeland-Serie, den Nike-eigenen RTFKT und CLONEX, Phantom Network (PXN) und der „Moonbirds“-Serie der Proof-Plattform. Die Web3-Infrastruktur von CyberConnect, einem Social-Graph-Protokoll, wurde Berichten zufolge auch über einen Discord-Bot kompromittiert, der begann, Malware-Links an Benutzer weiterzuleiten.
Beim Axie Infinity-Angriff posteten die Hacker zunächst Nachrichten, die scheinbar vom Konto eines Mitbegründers des Spiels stammten, und kündigten dann schließlich eine gefälschte NFT-Münze an, um Benutzer zu betrügen. Die Entwickler haben seitdem sowohl die gefälschten Nachrichten als auch den kompromittierten Discord-Bot entfernt, veröffentlichten jedoch Social-Media-Beiträge, in denen sie die Benutzer warnten, dass sie möglicherweise weiterhin auf die Betrugsnachrichten stoßen, bis sie ihr Discord neu starten.
Andere NFT-Dienste berichteten von ähnlichen Betrugsversuchen und der Weitergabe von Malware-Links über einen scheinbar kompromittierten Discord-Bot. Die Entwickler von Mee6 sagen jedoch, ihre Ingenieure hätten eine interne Untersuchung durchgeführt und keine Hinweise auf einen Verstoß gefunden. Sie sagten, den Hackern sei es stattdessen gelungen, ein Mitarbeiterkonto zu kompromittieren, und das Problem sei inzwischen behoben.
Mee6 ist ein sehr beliebter Discord-Bot, der eine Vielzahl von Funktionen automatisiert: grundlegende Moderation, Senden von Administratornachrichten, Abspielen von Musik und mehr. Er wird von rund 16 Millionen Discord-Servern auf der ganzen Welt verwendet. Automatisierte Discord-Bots wie Mee6 sind ein großes Sicherheitsrisiko, da ihre Nachrichten im Allgemeinen von der Benutzercommunity als vertrauenswürdig angesehen werden, die davon ausgeht, dass die Nachricht von den Personen stammt, die den Server betreiben. Wenn ein Discord-Bot kompromittiert wird und die Angriffsnachrichten gut genug formuliert sind, gibt es genügend Grund zu der Annahme, dass der gesamte Discord-Chat ihnen folgt und letztendlich Opfer von Phishing wird, Malware herunterlädt oder für einen betrügerischen Betrug bezahlt.
NFTs ein beliebtes Ziel für Betrüger und Hacker
Obwohl sich der NFT-Markt in den letzten Monaten etwas abgekühlt hat, haben die Angriffe darauf zugenommen. Eine Kombination aus Versäumnissen, die zu Sicherheitslücken führten, und kreativem Phishing von Wallet-Inhabern haben ihn zu einem der heißesten Bereiche der Cyberkriminalität gemacht.
Die Verwendung von Discord-Bots zum Versenden von Spam-Nachrichten ist im Vergleich zu einigen der seit Anfang 2022 aufgetauchten Machenschaften eigentlich relativ harmlos. Ein Angriff auf den Instagram-Account des Bored Ape Yacht Club (BAYC) im April ähnelte dem Discord-Bot-Angriff insofern, als der Hacker eine Sicherheitslücke nutzte, um die gefälschte Prägung neuer NFTs anzukündigen, aber begehrte Affenbilder im Wert von über 3 Millionen Dollar stahl, als der Angreifer die Follower des Accounts davon überzeugte, ihre Krypto-Wallets zu verbinden. Und obwohl es sich um getrennte Fälle handelte, an denen nicht derselbe Discord-Bot beteiligt war, wurde BAYCs Discord sowohl im Februar als auch Anfang April gehackt. Bei einem dieser Vorfälle wurde ein NFT des Mutant Ape Yacht Club im Wert von etwa 69.000 Dollar gestohlen.
Auch die beliebte NFT-Plattform OpenSea wurde im Februar erfolgreich gephisht. Dabei wurden digitale Vermögenswerte im Wert von rund 1,7 Millionen US-Dollar von mehreren Benutzern der Site gestohlen. Bei diesem Angriff wurde eine bisher unbekannte Schwachstelle in den Smart Contracts ausgenutzt, die NFTs zugrunde liegen. Im Wesentlichen wurden OpenSea-Benutzer dazu verleitet, einen „Angriffsvertrag“ zu unterzeichnen, der als Blankoscheck für die Plünderung ihrer Konten diente.
Hacker interessieren sich nicht nur für NFTs, sondern für die breitere Welt der dezentralen Finanzen. Diese Plattformen gelten im Allgemeinen als weniger sicher als ihre traditionelleren Krypto-Gegenstücke. Axie Infinity war ein Beispiel dafür. Es wurde von dem Discord-Bot-Schema getroffen, als es sich gerade von einem Diebstahl von 625 Millionen Dollar zu erholen begann, der Ende März stattfand. Bei diesem Angriff verschafften sich die Hacker mit Social Engineering Zugang zu Konten mit Administratorrechten, und man geht nun davon aus, dass die vom Staat Nordkorea unterstützten Hacker dafür verantwortlich sein könnten. Dieser Angriff warf ein grelles Licht auf die aufkommenden „Proof of Stake“-Systeme, die manchmal als Möglichkeit angepriesen werden, den Energieverbrauch von Kryptowährungen zu senken.
Es sind nicht nur die Schwachstellen, die im zugrunde liegenden Code oder in den Plattformstrukturen auftauchen, oder die Möglichkeit, Wallet-Inhaber zu fälschen, sondern auch eine scheinbar laxe Haltung gegenüber der Cybersicherheit, die auf dem Markt weit verbreitet zu sein scheint. Plattformen investieren nicht unbedingt die Investitionen, den Aufwand und die Arbeitskraft, die für etwas angemessen sein sollten, das Transaktionen in Millionenhöhe abwickelt pathe.
Roger Grimes, datengesteuerter Verteidigungsevangelist bei KnowBe4 , bemerkt: „Die wichtigste Lektion hier ist, dass jeder in der potenziellen Angriffskette von Kryptowährungen oder NFTs so abgesichert werden muss, als wäre er eine Hochsicherheitsbehörde. Das ist bei den meisten nicht der Fall. In den meisten gibt es Mitarbeiter, die so tun, als wüssten sie, was sie tun, und die ihre Arbeitsgeräte und -umgebungen absolut nicht als die Hochrisikoziele behandeln, die sie sind. Kryptowährungen und NFTs sind unterschiedlich und für Angreifer sehr attraktiv. Wenn ein Angreifer eine Schwachstelle in einem regulären Finanzdienst oder auf einer Website findet, muss er trotzdem viele Schritte unternehmen, um aus dieser Schwachstelle einen gestohlenen Wert zu stehlen. Wenn dieser Wert gestohlen wird, können die Opfer ihn meistens wiederherstellen. Kryptowährungen und NFTs sind unterschiedlich. Wenn ein Angreifer eine Schwachstelle in Kryptowährungen oder NFTs findet, führt dies fast immer direkt zu einem Wertdiebstahl und das Opfer hat fast immer keine Möglichkeit, den gestohlenen Wert wiederherzustellen … Sie müssen sicherstellen, dass sie eine supersichere Umgebung und sichere Geräte betreiben. Ihre Administratoren können nicht ständig im Internet surfen, E-Mails abrufen und herunterladen, was sie wollen. Sie müssen alle Geräte und Software mit Hochsicherheitskonfigurationen sperren, Phishing-resistente MFA zum Anmelden verlangen mee6, Anwendungssteuerungsprobleme ausführen, die von einem sicheren Hypervisor-Chip unterstützt werden, alle angreifbaren Softwareprogramme aggressiv patchen und ihre Mitarbeiter aggressiv darin schulen, wie sie Phishing-Angriffe erkennen und verhindern können … Es ist nicht besonders beruhigend, wenn der Sprecher des kompromittierten Dienstes sagt, dass er mit zukünftigen Kompromittierungen rechnet und die Benutzer einfach mit dieser Möglichkeit leben müssen. Einerseits ist es die Realität, aber es flößt nicht so viel Vertrauen ein, als wenn der Sprecher sagen würde, dass er die Schwachstellen kennt, die dies ermöglicht haben, Schritte unternommen hat, um sicherzustellen, dass dies nie wieder passiert, und dass er seine gesamte Infrastruktur ändert, um die Sicherheit ernster zu nehmen.“
