Voor miljoenen dollars aan NFT's gestolen via Instagram
Onbekenden hebben een reeks NFT's gestolen door een phishinglink te posten op de Instagram-account van Bored Ape Yacht Club. Die laatste is de 'exclusieve' groep voor eigenaars van een jpeg met een verveelde aap erop.
NFT's blijven een magneet voor overvallen. De sector maakt er een praktijk van om gratis dingen weg te geven en zo meer hype te genereren, maar dat kan dus ook tegen die enthousiastelingen worden gebruikt. Het gebeurde deze week bij Bored Ape Yacht Club, het zogeheten clubhuis van houders van een Bored Ape NFT. Dat zijn jpeg's van cartoonapen met een reçuutje op de blockchain, waardoor ze in bepaalde kringen miljoenen dollars waard zijn.
De Instagram-account van het merk werd deze week overgenomen door een fraudeur die een link postte naar een 'airdrop'. Daarmee zouden houders van een NFT gratis eigendom kunnen opeisen in het metaverse van Bored Ape Yacht Club, een virtuele wereld die nog niet bestaat. De link bleek een phishing-link, en degenen die erop klikten zagen hun NFT's gestolen geworden. In totaal werd het verlies gerapporteerd van vier NFT's uit de Bored Ape Yacht Club serie, die normaliter voor een minimum aan 145 ether worden verkocht, omgerekend zo'n 400.000 euro.
Ook buitgemaakt: zes Mutant Ape Yacht Club NFT's, een nieuwe serie met gemuteerde apen met een straatwaarde van 39 ether of 110.000 euro, en drie Bored Ape Kennel Club NFT's, met huisdieren voor de anders erg verveelde apen, die aan zo'n 14 ether of 40.000 euro worden verhandeld. In totaal zou het dus om zo'n 2,4 miljoen euro aan NFT's gaan, die door de aanvaller ondertussen al verkocht zijn op een andere NFT-marktplaats.
Airdrops
Opvallend daarbij is de praktijk van airdrops. Twee van de series waarvan NFT's werden gestolen, de mutanten en de hondjes, werden initieel namelijk verdeeld via gelijkaardige gratis airdrops. Dat kan verklaren waarom zoveel NFT-houders geen gevaar zagen in het klikken op een phishing-link die gratis spul belooft, iets wat in normale omstandigheden toch oproept tot enige voorzichtigheid.
Yuga Labs, het bedrijfje achter Bored Ape Yacht Club, zegt ondertussen niks te hebben misdaan. 'We willen erop wijzen dat tweestapsverificatie was aangezet voor het (Red: Instagram) account. De beveiliging rond het account was waterdicht aan de kant van Yuga', zo schrijft Gargamel, een van de oprichters van Yuga Labs op Twitter. 'We gaan nooit meer iets belangrijks posten op Instagram.'
In samenwerking met Data News