小偷用Instagram黑客窃取了100万美元的无聊猿游艇俱乐部NFT

一名黑客泄露了无聊猿猴游艇俱乐部（BAYC）的官方Instagram账户，并利用该账户发布了一个钓鱼链接，从用户的加密钱包中转移代币，从而窃取了价值数百万美元的NFT。

美国东部时间周一上午10点前，BAYC在推特上披露了该黑客行为。推特上写道：“今天没有造币厂”。“看起来BAYC Instagram被黑客入侵了”。

另一位与该项目无关的用户在推特上声称，该推特显示了从BAYC账户发布的图像，为任何连接MetaMask钱包的用户推广了“空投”（本质上是免费赠送的代币）。

不幸的是，BAYC的警告对于许多持有极其昂贵的无聊猿类nft的人来说来得太晚了，还有许多其他在黑客攻击中被盗的有价值的nft。一位推特用户发布的屏幕截图显示，该黑客的账户有一个OpenSea页面，该页面收到了来自无聊猿、变异猿和无聊猿犬舍俱乐部项目的十几个NFT，这些项目可能都是从点击网络钓鱼链接后连接钱包的用户那里获得的。

发布时，与黑客钱包地址相关的个人资料页面在OpenSea上已不可见。OpenSea通信主管Allie Mack确认科技博客由于OpenSea的服务条款禁止欺诈性获取物品或未经授权以其他方式获取物品，该黑客的帐户在该平台上被禁止。

但考虑到NFT的分散性，黑客钱包的内容仍然可以在其他平台上查看。通过NFT平台Rarible可以看到，钱包里有134个NFT，其中包括四个无聊猿和许多其他物品，这些物品来自于Yuga Labs（BAYC的创造者）的项目，例如变异猿和无聊猿犬舍俱乐部。

根据最近的销售价格，每只被盗的猿的价值都高达六位数。最低价的Ape是7203，上一次是在四个月前以47.9 ETH的价格售出的，按目前的交易价格计算，相当于138000美元。Ape6778的最后一次售价为88.88 ETH（256200美元），而Ape6178的最后一次售价为90 ETH或259400美元。三个月前，这只“无聊猿”以123 ETH（354500美元）的价格售出，这意味着四只被盗猿的总价值刚刚超过100万美元。

目前还不知道黑客是如何入侵该项目的Instagram帐户的。在发送给的声明中科技博客Yuga实验室通过电子邮件并在推特上发布，表示在攻击发生时启用了双因素身份验证，Instagram帐户的安全性遵循了最佳做法。尤加实验室还表示，该团队正在积极努力与受影响的用户建立联系。

虽然NFT可以用巨额资金进行买卖，但它们通常被放在智能手机钱包中，而不是更安全的环境中，因为流行的分散加密钱包应用程序MetaMask只支持移动设备上的NFT显示。它还鼓励用户通过智能手机应用程序而不是基于浏览器的扩展来管理NFT。这意味着使用Instagram提供网络钓鱼链接是窃取NFT的有效方式，因为网络钓鱼链接更有可能通过手机钱包进行交互。

虽然加密空间中的安全建议表明，NFT持有者从不将钱包连接到未知或不受信任的第三方，但网络钓鱼链接是通过官方的BAYC社交媒体帐户发送的，这一事实很可能让受害者相信它是合法的，这就引发了关于错误究竟在哪里的难题。

尤加实验室没有回复来自科技博客询问黑客行为的受害者是否会得到项目对其损失的赔偿。