Een van de bekendste NFT-projecten ter wereld is de Bored Ape Yacht Club. Hoge bomen vangen veel wind, dus er volgen regelmatig aanvallen op de bekende non-fungible aapjes. Zo ook de afgelopen dagen, toen er 2,5 miljoen dollar (2,3 miljoen euro) werd buitgemaakt aan NFT’s van de apenclub. Hoe kan zoiets gebeuren?
Phishing. Het is heel flauw, maar er zitten niet eens heel vernuftige, ingewikkelde systemen achter de hack. Er is naar diverse eigenaren van een Bored Ape een bericht gestuurd met daarin de belofte van gratis land in een aankomend metaverse. Dat is ook iets waar de eigenaars van de Bored Ape Yacht Club mee bezig zijn: het metaverse welteverstaan, niet de phishing hieromtrent. De NFT-eigenaren die op de malafide link klikten, zagen hun NFT’s verdwijnen, in plaats van dat ze land kregen in Otherside, het aankomende metaverse van de club.
Toch ligt het wel iets gecompliceerder dan de meeste phishing-acties. Deze hacker heeft namelijk niet een nep-account aangemaakt, de hacker heeft het account van Bored Ape Yacht Club zelf gehackt en gebruikt om een link naar een zogenaamde airdrop te plaatsen. Klikte je op de link, dan werd er gevraagd om een link te maken met de cryptowallet en vervolgens werden de aapjes gestolen. Dure aapjes (en honden), want de dief ging er met maar liefst 2,3 miljoen euro aan apen vandoor: vier Bored Apes, zes Mutant Apes en drie Bored Ape Kennels.
De dief heeft de gestolen waar geplaatst op LooksRare, een NFT-marktplaats zoals OpenSea. Sterker nog, het is al verkocht: de vier originele apen zijn weggegaan voor 540 ether (1,4 miljoen euro). Uiteindelijk hebben 44 mensen op de link geklikt en zijn er 133 NFT’s gestolen. Dat is relatief veel, maar dat komt dus vooral omdat het kwam van het officiële Instagram-account van de club.
Het is bepaald niet de eerste keer dat de NFT’s van de Bored Ape Yacht Club in de problemen komen. De reden hierachter is onder andere dat er veel gratis dingen worden weggegeven binnen de club. Immers zou het in de echte wereld heel vreemd zijn als iemand je zomaar gratis iets geeft dat razendsnel honderdduizenden euro’s waard is.
Het is heel normaal in de NFT-wereld, maar daardoor word je wel een enorm gewild item. De mensen achter BAYC hebben nu gezegd dat er gewoon multifactorauthenticatie aanstond in Instagram, maar heeft ook aangegeven dat er nooit meer iets belangrijks op Instagram wordt gezet, om dit soort situaties in de toekomst te voorkomen.
Dat is uiteindelijk ook het enige wat het kan doen: heel duidelijk stellen wat het wel en niet doet. Dit zie je ook bij bijvoorbeeld supermarkten en andere bedrijven die veelvuldig worden gebruikt voor phishing. Supermarkten geven bijvoorbeeld aan dat ze nooit een actie doen waarin je cash wint of een minuut gratis winkelen, zodat je weet dat wanneer je een mail hierover (die zogenaamd van die supermarkt) komt links kunt laten liggen. Maar ja, in de NFT-wereld worden allerlei creatieve manieren bedacht om mensen dingen te geven, dus is het moeilijker om dit soort statements te maken.
Bored Ape Yacht Club bestaat sinds april vorig jaar en tegenwoordig kost een aapje minimaal 402.000 euro (145 Ether). De honden van de Kennel Club en de gemuteerde apen van de Mutant Ape-club zijn inmiddels zo’n 40.000 euro per stuk en 100.000 euro per stuk waard. Hoe je NFT’s ook ziet: als een hype of als een scam, in ieder geval vertegenwoordigen ze op dit moment een grote waarde en daar zitten veel mensen achteraan.
