Condividi questo articolo
Il creatore di Bored Apes avverte di un gruppo di minaccia che prende di mira le comunità NFT
Negli ultimi mesi gli aggressori hanno preso di mira i wallet che ospitavano numerose raccolte NFT di alto profilo.
Yuga Labs, lo studio di sviluppo dietro le popolari collezioni di token non fungibili (NFT) come Bored Apes Yacht Club, ha lanciato l'allarme in un tweet lunedì, parlando di un gruppo di aggressori che prende di mira la comunità NFT.
"Il nostro team di sicurezza ha monitorato un gruppo di minacce persistenti che prende di mira la comunità NFT", hanno twittato gli sviluppatori di Yuga. "Riteniamo che presto potrebbero lanciare un attacco coordinato che prende di mira più comunità tramite account di social media compromessi".
La storia continua sotto
Our security team has been tracking a persistent threat group that targets the NFT community. We believe that they may soon be launching a coordinated attack targeting multiple communities via compromised social media accounts. Please be vigilant and stay safe.
— Yuga Labs (@yugalabs) July 18, 2022
Yuga Labs non ha risposto alle richieste di informazioni più specifiche al momento della stesura. Tuttavia, l'avviso è arrivato perché negli ultimi mesi si sono verificati exploit NFT per milioni di dollari.
Lo scorso weekend sono stati rubati oltre 375.000 $ di ether e 314 NFT da Premint NFT, una popolare piattaforma NFT. Un'indagine della società di sicurezza CertiK ha rivelato che gli autori della minaccia hanno impiantato un codice JavaScript dannoso su premint.xyzsito web. Lo script è stato progettato per istruire gli utenti a "impostare le approvazioni per tutti" quando collegano i loro portafogli al sito, il che ha consentito agli aggressori di accedere a tutti gli asset nei portafogli dell'utente.
"Sebbene il file dannoso non sia più disponibile perché il Domain Name Server non esiste più, gli effetti dell'attacco sono visibili on-chain", si leggeva in una dichiarazione di CertiK all'epoca. "In totale, sei account di proprietà esterna (EOA) sono direttamente associati all'attacco, con circa 275 ETH rubati (~$375K).
L'azienda ha aggiunto che gli aggressori "sfruttano i problemi di centralizzazione e i singoli punti di errore" che derivano dai progetti Cripto che si basano su infrastrutture Internet centralizzate. "Gli hack di questo tipo stanno diventando sempre più popolari", ha affermato CertiK. "C'è stato un netto aumento degli aggressori che prendono di mira altri account ufficiali come le piattaforme dei social media per condurre exploit".
L'attacco di Premint è avvenuto quasi una settimana dopo gli aggressoriha rubato oltre 1,4 milioni di dollariin ether da Omni Protocol, una piattaforma NFT che consente agli utenti di ottenere prestiti tramite i propri NFT.
Ciò è avvenuto in seguito a un attacco di maggio quando gli utenti del mercato NFT OpenSearicevuto falsi messaggi promozionali sul canale Discord del progetto, che ha portato i membri della community a un sito falso che ha finito per prosciugare i portafogli degli utenti dopo aver cliccato su un LINK dannoso.
Ad aprile, l'account Instagram e il server Discord dei Bored Apes sono stati sfruttati con un LINK "mint" non ufficiale inviato ai follower. Il LINK fraudolento sosteneva che gli utenti potevano "atterrare" con il mint nell'allora imminente OthersideMeta, come precedentemente segnalato.
In unincidente separato di aprile, gli aggressori hanno sfruttato un difetto di progettazione, ora risolto, nel marketplace NFT Rarible per rubare un NFT Bored APE al cantante e attore taiwanese Jay Chou e rivenderlo per oltre 500.000 dollari.
More For You
알아야 할 것:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Un nuovo bug di React in grado di prosciugare tutti i tuoi token sta colpendo "migliaia di" siti web
Gli attaccanti stanno sfruttando la vulnerabilità per distribuire malware e software di mining di criptovalute, compromettendo le risorse del server e potenzialmente intercettando le interazioni con wallet sulle piattaforme crypto.
알아야 할 것:
- Una vulnerabilità critica nei React Server Components, nota come React2Shell, è attivamente sfruttata, mettendo a rischio migliaia di siti web, comprese le piattaforme cripto.
- La vulnerabilità, identificata come CVE-2025-55182, consente l'esecuzione remota di codice senza autenticazione e interessa le versioni di React dalla 19.0 alla 19.2.0.
- Gli aggressori stanno sfruttando la vulnerabilità per distribuire malware e software di mining di criptovalute, compromettendo le risorse del server e potenzialmente intercettando le interazioni con i wallet sulle piattaforme crypto.
Storie Da Non Perdere
