CityDAO

Immer mehr NFT-Hacks via Discord: Nun auch Gründer von "Blockchain City" betroffen

02.02.22 23:07 Uhr

Immer mehr NFT-Hacks via Discord: Nun auch Gründer von "Blockchain City" betroffen | finanzen.net

Mitte Januar wurde CityDAO Opfer eines erfolgreichen Hacker-Angriffs - umgerechnet mehr als 100.000 US-Dollar nahm der Hacker offenbar bereits in wenigen Stunden ein. Auch andere NFT-Plattformen wurden in den letzten Wochen über die Schwachstelle Discord angegriffen.

Werte in diesem Artikel
Devisen

93.891,2874 CHF 298,7757 CHF 0,32%

100.878,1138 EUR 321,0088 EUR 0,32%

87.358,9137 GBP 277,9887 GBP 0,32%

17.379.925,2811 JPY 55.305,4382 JPY 0,32%

117.917,1407 USD 375,2294 USD 0,32%

2.362,2159 CHF 7,3549 CHF 0,31%

2.537,9979 EUR 7,9022 EUR 0,31%

2.197,8676 GBP 6,8432 GBP 0,31%

437.262,4714 JPY 1.361,4419 JPY 0,31%

2.966,6837 USD 9,2369 USD 0,31%

0,0000 BTC -0,0000 BTC -0,28%

0,0004 ETH -0,0000 ETH -0,31%

0,0000 BTC -0,0000 BTC -0,27%

0,0004 ETH -0,0000 ETH -0,31%

0,0000 BTC -0,0000 BTC -0,29%

0,0005 ETH -0,0000 ETH -0,31%

0,0000 BTC -0,0000 BTC -4,10%

0,0000 ETH -0,0000 ETH -0,13%

0,0000 BTC -0,0000 BTC -0,35%

0,0003 ETH -0,0000 ETH -0,31%

• Innerhalb eines einzigen Tages entwendete der Hacker per Webhook der Community 29,67 ETH
• CityDAO ist nicht das erste Hacker-Opfer: Innerhalb eines Monats wurden auch Fractal und Monkey Kingdom angegriffen
• Schwachstelle: Discord arbeitet eigenen Angaben zufolge am Verschließen der Sicherheitslücken

Am 10. Januar dieses Jahres wurde die Krypto-Community CityDAO Opfer eines Hacker-Angriffs. Auf Twitter warnte die erst im Juli 2021 gegründete "Blockchain City" ihre Mitglieder davor, Transaktionen zu tätigen:

Wer­bung
Über 500+ Kryptos und 3.000 digitale Assets

Bitpanda ist der BaFin-lizenzierte Krypto-Broker aus Österreich und offizieller Krypto-Partner des FC Bayern München. Erstellen Sie Ihr Konto mit nur wenigen Klicks und profitieren Sie von 0% Ein- und Auszahlungsgebühren.

Allerdings war es da bereits zu spät: Ganze 29,67 ETH (zum Zeitpunkt des Hacks 100.000 US-Dollar wert) habe der Hacker der Informationsplattform VICE zufolge innerhalb nur eines Tages stehlen können, den Großteil davon bereits in der ersten Stunde. Auch in den folgenden Tagen habe er noch ETH einsammeln und verstecken können.

Die Vorgehensweise des Hackers: ein Webhook-Angriff über Discord

Umgesetzt wurde der Hack über den Discord-Nutzer Lyons800, der offenbar Moderator des CityDAO-Discord-Channels und Mitgründer der "Blockchain City" ist. Lyons800 bestätigte dies über Twitter und erklärte ebenso wie der von CityDAO auf Twitter verlinkte User Little Lemon Friends, wie der Angriff auf ihn und infolgedessen die gesamte CityDAO-Community durchgeführt werden konnte.

Zunächst habe sich der Hacker ein Mitglied (Lyons800) des Discord-Channels von CityDAO ausgesucht und sei dann einem zweiten Channel beigetreten, in dem Lyons800 ebenfalls Mitglied ist. Diesen anderen Channel habe der Hacker mittels falscher Informationen dazu gebracht, Lyons800 zu sperren, anschließend sei er unter dem Vorwand der Aufhebung der Sperrung mit Lyons800 in Kontakt getreten. In einem gemeinsamen Call habe er sein Opfer darum gebeten, seinen Bildschirm zu teilen und per ctrl+shift+i ein "Inspektionselement" zu öffnen. Über dieses Element erhielt er offenbar Zugriff auf den gesamten Discord-Account des CityDAO-Gründers und konnte im Rahmen eines sogenannten Webhook-Angriffs eine falsche Ankündigung über Kaufmöglichkeiten an die anderen Mitglieder der Community senden.

CityDAO ist nicht das erste Opfer: Discord offenbar Schwachstelle der NFT-Communities

Dabei handelt es sich um den dritten großen Hack via Discord innerhalb eines Monats: Am 21. Dezember vergangenen Jahres wurden auch die Plattformen Fractal (umgerechnet rund 150.000 US-Dollar Verlust, die Betroffenen sollen aber nach Angaben des Unternehmens ihr Geld erstattet bekommen) und Monkey Kingdom von Hackern angegriffen. Den Mitgliedern der Monkey Kingdom-Community wurden The Verge zufolge dabei insgesamt rund 1,3 Millionen US-Dollar entwendet. Bereits im Oktober hatte ein 17-jähriger Hacker nach Angaben von VICE den Mitgliedern der CreatureToadz-Community via Discord insgesamt 88 ETH abgenommen.

Peter Day, Senior Manager of Corporate Communications bei Discord, wurde zu dem Thema Anfang Januar von The Verge wie folgt zitiert: "Discord nimmt die Sicherheit aller Nutzer und Communities sehr ernst, was auch solche Social-Engineering-Angriffe einschließt. Obwohl es bereits klare Kontrollen gibt, werden wir immer weiter daran arbeiten, diese Angriffe zu erschweren und auch weiterhin in die Aufklärung und Tools zum Schutz unserer User investieren."

Olga Rogler / Redaktion finanzen.net

In eigener Sache

Übrigens: US-Aktien sind bei finanzen.net ZERO sogar bis 23 Uhr handelbar (ohne Ordergebühren, zzgl. Spreads). Jetzt kostenlos Depot eröffnen und als Geschenk eine Gratisaktie erhalten.

Bildquellen: Phongphan / Shutterstock.com, wael alreweie / Shutterstock.com

Nachrichten zu Discord

Wer­bung