La cuenta oficial de Instagram del Bored Ape Yacht Club fue hackeada el lunes, y compartió un enlace a un sitio web de estafa que aparentemente ha robado más de 2,8 millones de dólares en NFT de personas que conectaron sus Walletwallets[/definición] de Ethereum.
El sitio web vinculado afirmaba falsamente que el creador de Bored Ape Yacht Club, Yuga Labs, estaba ofreciendo terrenos NFT gratuitos para su próximo juego del metaverso Otherside, y que cualquiera que conectara una cartera de Ethereum recibiría un airdropairdrop[/definición] gratuito de terrenos virtuales, aunque no tuviera un Bored Ape.
Pero todo era una estafa: el lanzamiento del metaverso Otherside del Bored Ape Yacht Club está previsto para el 30 de abril, y el sitio web no era una creación oficial de Yuga Labs. Sin embargo, muchas personas aparentemente cayeron en el engaño, con 91 NFTs robados de carteras conectadas con un valor combinado de más de 2,8 millones de dólares, basado en el precio mínimo actual (o NFT más barato disponible) de cada colección.
🚨There is no mint going on today. It looks like BAYC Instagram was hacked. Do not mint anything, click links, or link your wallet to anything.
— Bored Ape Yacht Club (@BoredApeYC) April 25, 2022
Según el detective de blockchain zachxbt, la cartera vinculada a la estafa consiguió robar cuatro NFT del Bored Ape Yacht Club, siete NFT del Mutant Ape Yacht Club y tres NFT del Bored Ape Kennel Club, así como una serie de otros NFT.
Otros informes han afirmado que el servidor oficial de Discord del Bored Ape Yacht Club también fue hackeado hoy, pero no parece ser el caso. Sin embargo, el Discord de Bored Ape sí fue hackeado previamente el 1 de abril.
"Esta mañana nuestro equipo fue alertado de que la cuenta oficial de Instagram del Bored Ape Yacht Club fue hackeada", se lee en un comunicado oficial de Yuga Labs, proporcionado a Decrypt. "El hacker publicó un enlace fraudulento a una imitación del sitio web de Bored Ape Yacht Club, donde un ataque safeTransferFrom pedía a los usuarios que conectaran su MetaMask a la cartera del estafador para participar en un airdrop falso."
Damn the BAYC Instagram hacker stole 4 BAYC, 7 MAYC, 3 BAKC, 1 CloneX, & more ( 91 NFTs in total)
Hacker Address:https://t.co/0ngJ4SKV4G pic.twitter.com/9U2OGPKMmP
— zachxbt (@zachxbt) April 25, 2022
"A las 9:53 am ET, alertamos a nuestra comunidad, eliminamos todos los enlaces a Instagram de nuestras plataformas e intentamos recuperar la cuenta de Instagram hackeada", continúa el comunicado. "La autenticación de dos factores estaba habilitada y las prácticas de seguridad que rodean la cuenta de IG eran estrictas. Yuga Labs e Instagram están investigando actualmente cómo el hacker pudo acceder a la cuenta. Todavía estamos indagando".
Yuga Labs estimó el valor total de los NFT robados en alrededor de 3 millones de dólares, lo que coincide con los datos extraídos de la cartera atacante. La firma también dijo que está "trabajando activamente para establecer contacto con los usuarios afectados", pero no compartió ningún detalle sobre los posibles planes para reembolsar a los titulares de NFT de Bored Ape Yacht Club afectados.
La estafa de Instagram se produce tras una oleada de estafas en Twitter en las que las cuentas verificadas de muchos usuarios han sido secuestradas y utilizadas para realizar ataques similares de robo de NFT. Esa estafa en particular se originó con ApeCoin, el token del ecosistema de Bored Ape Yacht Club lanzado recientemente, y desde entonces se ha extendido a Azuki y Moonbirds. Para ser claros, los creadores de esos proyectos no están involucrados en las estafas.
Algunos de los usuarios de Twitter afectados han dicho a Decrypt que sus cuentas también tenían activada la autenticación de dos factores. Un representante de Twitter dijo a Decrypt el 8 de abril que estaba "al tanto y trabajando activamente en una solución para combatir" tales estafas, pero no proporcionó una actualización cuando se le preguntó la semana pasada.