Discord hackers stelen miljoenen dollars aan NFT's

Hackers hebben met frauduleuze acties op Discord, NFT's ter waarde van enkele miljoenen dollars bemachtigd. Het aantal phishingaanvallen op het socialemediaplatform is de laatste tijd toegenomen.

Discord is niet alleen een populaire plaats om ideeën uit te wisselen, hackers worden ook steeds meer aangetrokken tot bepaalde servers met maar één doel: waardevolle NFT's stelen. De schade loopt nu in de miljoenen. Nieuwe analyses wijzen op een verband tussen de phishing-aanvallen.

Voor 22 miljoen dollar aan NFT's gestolen

Het sociale mediaplatform Discord heeft in de afgelopen drie maanden een toename van hackeraanvallen gezien. Dit is het resultaat van een evaluatie door het blockchain beveiligingsbedrijf TRM Labs. De gangbare methode: zogenaamde phishing, waarbij gebruikers worden doorgelinkt naar frauduleuze websites en persoonlijke gegevens worden afgetapt. Hackers lijken het steeds vaker gemunt te hebben op waardevolle NFT's.

Phishing-aanvallen in verband met diefstal van NFT's zijn in juni met 55 procent toegenomen, aldus TRM Labs. Meer dan 100 meldingen van hacks op Discord-kanalen zijn in de afgelopen twee maanden aan het bedrijf gemeld. Het verlies aan NFT's sinds mei bedraagt ongeveer 22 miljoen US dollar.

Doelwit: Bored Ape Yacht Club

De aanvallers kiezen voor een gerichte aanpak en stelen vooral dure NFT's, zoals die van de Bored Ape Yacht Club (BAYC). Op 4 juni was de Discord-server van Yuga Labs, het bedrijf achter de NFT-collectie, het doelwit van verschillende phishing-aanvallen. Gebruikers werden exclusieve giveaways beloofd. Nadat ze de links hadden gevolgd en hun wallet hadden verbonden, maakten de aanvallers de NFT's over naar hun eigen wallet.

In totaal werden daarbij 32 NFT's, waaronder Bored Apes en Otherside NFT's, ter waarde van 140 Ether gestolen. Een maand eerder vond een soortgelijke aanval plaats via het Instagram-account van de Bored Ape Yacht Club.

Hetzelfde patroon

De aanvallen staan niet op zichzelf, maar hebben een methode, volgens TRM Labs. Uit analyses van on- en off-chain gegevens blijkt dat "veel van de Discord-aanvallen op NFT-projecten soortgelijke gedragspatronen vertonen". Het gaat onder meer om phisingaanvallen op rekeningen van de NFT-projecten Bubbleworld, Parallel, Lacoste, Tasties, Anata en "een dozijn andere". Het incident van 4 juni op de Discord-server van Yuga Labs zou ook deel uitmaken van de georkestreerde reeks aanvallen.

"We hebben de afgelopen maanden een toename gezien van aanvallen op NFT-projecten en andere crypto-bedrijven," vertelde Ari Redbord, hoofd Legal bij TRM Labs. Dergelijke incidenten kunnen blijven toenemen, zolang cybercriminelen in staat zijn grote bedragen te stelen of activa die voor contant geld kunnen worden verkocht.

Volgen op de blockchain

Het schema is steeds hetzelfde: Aanvallers maken frauduleuze accounts aan, doen zich voor als beheerders, maken reclame voor promoties, zoals giveaways, zogenaamd gratis distributies van NFT's en sturen phishinglinks. Daarbij dringen zij er bij de gebruikers op aan snel te handelen om te voorkomen dat zij een gratis NFT of een beperkte voorraad mislopen.

De gestolen NFT's werden in eerste instantie verkocht via marktplaatsen voor Ether, aldus TRM Labs. Het grootste deel van de opbrengsten werd naar drie verschillende wallets overgemaakt voordat de fondsen via de Ethereum-mixer Tornado Cash naar meer wallets werden verplaatst. Via gedecentraliseerde diensten, gokwebsites en een darkweb-markt wordt de Ether vervolgens voor Bitcoin ingewisseld. Eén van de drie wallets was ook gekoppeld aan wallets die direct in verband werden gebracht met andere Discord oplichting die plaatsvonden in mei en juni 2022, aldus TRM Labs.

Wie of hoeveel mensen achter de aanslagen zaten, is tot dusver onduidelijk. De professionele aanpak suggereert echter verschillende factoren die deel zouden kunnen uitmaken van een hackersgroep.