La cuenta de Instagram de Bored Ape Yacht Club fue hackeada con éxito, incluyendo un mint falso que otorgaba acceso a las wallets de los usuarios. Muchos inversores incluyeron sus datos y según informes, los hackers han conseguido hacerse con 13 millones de dólares en activos.
El pasado 25 de abril, la cuenta oficial de Instagram y Discord de Bored Ape Yacht Club fue hackeada por un grupo de atacantes por ahora desconocidos. Los hackers lanzaron un mint falso a través de un enlace malicioso en el que los usuarios debían conectar sus wallets para obtener recompensas. La cuenta oficial de Bored Ape Yacht Club avisó a los usuarios rápidamente de que no habían lanzado ninguna propuesta del estilo y podían estar siendo víctimas de una estafa, pero muchos usuarios ya habían accedido al enlace.
En un comunicado posterior publicado por la organización se confirmaron las sospechas, el hacker logró hacerse con la cuenta de Instagram oficial del protocolo y publicar un enlace fraudulento. Este enlace conducía directamente a un sitio copia del sitio web de BAYC donde se anunciaba un Airdrop falso. El sitio web pedía que el usuario firmase una «transferencia segura» y así poder recibir los activos en caso de ser el ganador del airdrop. Esta información era totalmente falsa, la firma transfería los activos de las wallets de los usuarios directamente a la del estafador.
La administración de BAYC afirmó que en el momento del hackeo la cuenta de Instagram contaba con la autenticación de dos factores y seguía las mejores prácticas en cuanto a seguridad. Por el momento se desconoce como los atacantes lograron burlar la seguridad y colarse, todo apunta a una filtración interna antes que a un hackeo de software.
Se ha puesto a disposición de los afectados el correo «[email protected]», al cual deben dirigirse en caso de saber algo o haber sido víctimas del ataque. La administración ha hecho especial hinca pie en que el afectado debe ser el primero en establecer la comunicación con ellos. En caso de recibir algún correo firmado por BAYC, no se tratará de la administración, sino de una dirección fraudulenta.
En la última parte del comunicado en de BAYC se ha aclarado que nunca publicarán air drops o promociones del estilo a través de su cuenta de Instagram en primicia. Esta calse de eventos se anunciarán primero a través de las diferentes cuentas de Twitter oficial y luego llegarán al resto de redes. Se desconoce exactamente la magnitud del ataque, pero según fuentes de investigación externa, al menos 13 millones de dólares en NFT han sido sustraídos.
Recientemente, BAYC lanzó un activo propio, el ApeCoin, el cual se repartió a quienes contaba con NFTs de las diferentes colecciones de los Ape. El valor del activo se elevó rápidamente desde su lanzamiento, esto junto a la poca información acerca del mismo, han hecho que las estafas proliferen. Uno de las estafas más voluminosas ocurrió en Twitter, un hacker logro hacerse con el control de diferentes cuentas para promocionar su estafa. El atacante logró hacerse con 900.000 dólares en activos en cuestión de horas.
Seguir leyendo acerca de la adquisición de GEM por parte de OpenSea, es posible que te parezca interesante.
