Eine Sicherheitslücke, die durch ein kürzlich durchgeführtes Update des populären Bots Ticket-Tool in die Discord-Server-Software gerissen worden war, hat ein Hacker ausgenutzt, um Phishing-Links auf mehreren Servern zu posten. Am frühen Freitagmorgen griff er die Discord-Server der beliebten NFT-Sammlungen Bored Ape Yacht Club, Mutant Apes und Doodles an.
Ankündigung neuer NFT-Sammlung als Köder
So wurde um kurz nach 8 Uhr auf dem Bored-Ape-Server eine Nachricht, die eine neue „Mutant Ape Kennel Club“-Sammlung ankündigte und einen gefälschten Prägelink enthielt. Benutzende, die in gutem Glauben den Link geklickt hatten, unterzeichneten danach Transaktionen, die dem Hacker erlaubten, ihre NFTs aus ihren Wallets zu transferieren.
Wurde zunächst ein Aprilscherz vermutet, zeigte sich schnell der Ernst der Lage. Tatsächlich hatte es ein Hacker geschafft, Server zu infiltrieren und Links in eingeschränkten Channels ohne die Erlaubnis des Server-Administrators zu posten.
Der Cyberkriminelle postete eine ähnliche Nachricht auf dem Doodles-Discord-Server, in der er den angeblich neuen Genesis-Coin mit begrenztem Vorrat ankündigte. Arglosen Nutzenden widerfuhr dann das Gleiche wie jenen, die die Links auf den Bored-App-Servern klickten.
Yuga Labs reagiert schnell
Yuga Labs, Macher des Bored Ape Yacht Club, reagierten sehr schnell. Über den offiziellen Twitter-Account informierten sie über den Angriff: „Ein Webhook in unserem Discord wurde kurzzeitig kompromittiert. Wir haben es sofort bemerkt! Seid sicher, dass wir keine Aprilscherze machen“.
War zunächst ein weitverbreiteter Discord-Captcha-Bot als Einfallstor vermutet worden, stellte sich schnell heraus, dass es letztlich ein Exploit des Discord-Bots Ticket-Tool war, der dem Hacker die nicht autorisierte Server-Nutzung ermöglicht hatte. Die Entwickelnden von Ticket-Tool haben danach bekannt gegeben, dass das Update, das den Exploit verursachte, inzwischen rückgängig gemacht worden sei.
Discord immer öfter ein Problem
Wie die Blockchain-Sicherheitsfirma Peckshield ermitteln konnte, wurden mindestens ein Bored Ape, ein Mutant Ape und zwei Doodles von dem Hacker gestohlen. Aus den Transaktionsdaten ist ersichtlich, dass der Dieb alle vier NFTs bereits verkauft oder jedenfalls übertragen hat.
Kompromittierte Discord-Server entwickeln sich zum beliebten Ziel von Hackern, die es auf das Stehlen von NFTs anlegen. So wurden erst im Februar Nutzende des Doodles-Discord-Servers Opfer von Phishing-Links. Einfallstor war auch hier ein Server-Bot. Es scheint, als müsste das Thema Sicherheit bei Discord mehr Priorität bekommen.