2022年5月18日にCyberConnectのDicordがハッキングを受けました。その詳細に関する以下記事(notion)を翻訳したものです。
https://cyberconnect.notion.site/Discord-Hack-Investigation-23fce61f1e8144f390693034064cbd56
Web3の住人の皆様
2022年5月18日午前01時32分(UTC)頃、CyberConnectのDiscordサーバーが、Axie Infinity、Moonbirds、RTFKTなどの他の多くの人気Web3サーバーと共に侵害されました。このハッキングは、*MEE6*と呼ばれる人気のDiscordモデレーション・ボットが侵害された結果発生しました。CyberConnectのモデレーションボットをコントロールした後、悪質業者は、コミュニティメンバーにエアドロップを要求するよう促すフィッシングリンクを投稿しました。
このリンクをクリックし、コントラクトを承認し、トークンのエアドロップを要求しようとしたコミュニティメンバーは、知らず知らずのうちにハッカーにウォレットをコントロールされてしまい、多くの場合、資金とNFTを失うことになりました。 私たちのチームは14分以内にサーバーの制御を取り戻すことができましたが、すでに多くのコミュニティメンバーが影響を受けていました。
この投稿では、攻撃の経緯、セキュリティ強化の取り組み、影響を受けたコミュニティメンバーを支援する計画について詳しく説明します。
何が起こったか
私たちのチームは、この事件の全体像を調査し続けていますが、すべてのハッキングに共通するのは、MEE6モデレーションボットです。
https://twitter.com/mee6bot/status/1526901242521432065
MEE6の従業員のアカウントが侵害され、悪意のあるグループがCyberConnectなどの著名なDiscordサーバーをターゲットにすることができたことが判明しました。彼らは、MEE6のボットを操作して、サーバー管理者のリアクションロールを作成し、それを使ってハッカーのアカウントに管理者アクセス権を与えることでこれを達成することができました。この後、彼らはフィッシング・リンクを投稿する新しいボットをセットアップし、サーバーからすべてのModを追い出しました。
また、私たちのサーバー管理者の一人が以前にアカウントを侵害されたと信じるに足る理由があります。このことが、CyberConnectサーバーで起こったことの一因であった可能性があります。
このケースでは、サーバー管理者の1人が、コミュニティメンバーを装った悪質な人物からパートナーシップのオファーを受け、さらに議論するためにチームのサーバーに参加するよう依頼されました。サーバーに参加すると、管理者は偽の認証ボットを提示されました。偽のボットと対話することで、管理者のDiscordトークンが盗まれました。これにより、ハッカーは管理者のパスワードと2FAをバイパスして、アカウントを制御できるようになりました。これは、ユーザートークンをローカルストレージに保存するというDiscordの安全でない慣行が原因で可能です。
このような詐欺のケースは、急速に増加しています。ソーシャルエンジニアリングがどのように悪用されているかについては、こちらをご覧ください。また、自分自身を守る方法も紹介されています。
不明なリンクは決してクリックせず、正規のものであり、意図したとおりに動作していることが確認できないボットとのやりとりは避けることを強くお勧めします。
セキュリティの強化
昨日の事件は非常に残念なことであり、このようなことが二度と起こらないよう、可能な限りの対策を講じたいと考えています。以下は、サーバーのセキュリティを向上させるために取っている措置の一部です。
-
モデレーターやCyberConnectの社員に対するフィッシング攻撃から守るため、「コールドアドミニストレータ」アカウントを使用しています。
-
不要なボットをすべて削除し、ボットが危険にさらされる可能性を低くしています。
-
モデレーターは、他のメンバーに管理者権限を付与することも、サーバーに大きな変更を加えることもできません。このようにして、危険にさらされたアカウントがコミュニティのメンバーに与えるリスクを大幅に減らすことができます。
-
現在、信頼できる第三者によるDiscordのセキュリティ監査を行っているところです。
Discordのフィッシングの被害に遭ったと思われる場合は、すぐにパスワードをリセットしてください。そうすることで、あなたのDiscordトークンがリセットされ、第三者があなたのアカウントに知らないうちにアクセスすることを防ぐことができます。
影響を受けるユーザー
もしあなたが攻撃中にフィッシングボットと対話し、スマートコントラクトを承認し、NFTをミントしようとしたコミュニティメンバーの一人であった場合、貴重な資産を、影響を受けたウォレットから新しいウォレットに移動することを強くお勧めします。さらに、未承諾の取引が行われた可能性がないか確認することをお勧めします。
私たちはコミュニティを大切にしており、このハッキングによって金銭的な影響を受けた方がいらっしゃることを知り、心を痛めています。もしあなたがこのDiscordハッキングの被害者であれば、このフォームに記入してください。そうすれば、このことが私たちのコミュニティに与えた影響を調査し、完全に理解することができます。私たちは、影響を受けたすべてのユーザーが再び完全になることを目標に、返還計画に取り組んでいます。