Lorsqu’une icône de la culture pop comme Ozzy Osbourne annonce une collection NFT, vous pouvez compter sur la publicité du projet. Le lancement de la collection « CryptoBatz », une série de 9 666 chauves-souris numériques, a été couvert par des médias tels que Billboard, Rolling Stone, NME, Hypebeast et Business Insider, entre autres.

Mais à peine deux jours après la frappe des jetons, les partisans sont ciblés par une escroquerie par hameçonnage qui draine la crypto-monnaie de leurs portefeuilles, jouant un mauvais lien partagé par le compte Twitter officiel du projet.

Comme la plupart des projets NFT, CryptoBatz utilise Discord comme lieu d’organisation de sa communauté. Le CryptoBatz Discord officiel est désormais accessible via le lien court discord.gg/cryptobatz. Mais auparavant, le projet utilisait une URL personnalisée légèrement différente sur discord.gg/cryptobatznft.

Lorsque le projet est passé à la nouvelle URL, les escrocs ont configuré un faux serveur Discord sur l’ancien. Mais ni CryptoBatz ni Ozzy Osbourne n’ont pris la précaution de supprimer les tweets faisant référence à l’URL précédente, ce qui signifie que les anciens tweets d’Osbourne étaient autorisés à diriger les abonnés vers un serveur désormais contrôlé par des escrocs.

Un tweet CryptoBatz, publié le 31 décembre 2021, a reçu plus de 4 000 retweets et des centaines de réponses. Le tweet n’a été supprimé que le 21 janvier après que CryptoBatz a été contacté par The Verge.

En cliquant sur le lien de l’arnaque, le panneau d’invitation du faux Discord a montré que le nombre total de membres est de 1 330, une indication du nombre de personnes qui auraient potentiellement pu être dupées par l’arnaque.

À l’intérieur du serveur, un service de gestion communautaire d’usurpation de bot Collab Land a demandé aux utilisateurs de vérifier leurs actifs cryptographiques pour rejoindre le serveur, mais a dirigé les utilisateurs vers un site de phishing où ils ont été invités à connecter leurs portefeuilles de crypto-monnaie.

Un représentant de Collab Land a refusé de commenter.

Tim Silman, un employé à but non lucratif, est quelqu’un qui a perdu de l’argent à cause de l’escroquerie. Silman estime qu’environ 300 à 400 dollars en ETH ont été vidé de son portefeuille après avoir visité le faux serveur Discord via un lien posté sur le site CryptoBatz.

« J’ai vu au moins une douzaine de personnes sur Twitter exprimer le même problème », a déclaré Silman à The Verge. « Si vous regardez les transactions sur Etherscan, d’autres ont perdu beaucoup plus que moi. »

Une adresse de portefeuille Ethereum indiquée par Silman était liée à des escrocs qui avaient reçu une série de transactions entrantes totalisant 14,6 ETH (40 895 $) le 20 janvier et l’avaient envoyée vers un portefeuille contenant plus de 150 000 $.

Le projet a été lent à supprimer les mauvais liens, même lorsqu’il est informé, a déclaré Silman.

« Je les ai tagués plusieurs fois dans divers tweets, ainsi que quelques autres personnes, mais aucune réponse », a-t-il déclaré. « C’est une leçon coûteuse, je suppose. »

Même si le faux lien est resté présent dans un tweet important, le projet CryptoBatz a continué à faire de la publicité pour le jeton public. Au 21 janvier, les NFT CryptoBatz étaient revendus sur OpenSea pour environ 1,8 ETH (5 046 $).

Lorsqu’on leur a demandé si le projet devait assumer la responsabilité de laisser l’ancien lien en ligne, Sutter Systems, les développeurs de CryptoBatz NFT, ont imputé l’arnaque directement à Discord. Dans une déclaration envoyée par e-mail à The Verge, le co-fondateur de Sutter Systems « Jepeggi » a souligné que le compromis n’était possible que grâce à la configuration et à la maintenance faciles de l’instance Discord de l’arnaque.

« Bien que nous soyons vraiment désolés pour les personnes qui ont été la proie de ces escroqueries, nous ne pouvons pas assumer la responsabilité des actions des escrocs qui exploitent Discord, une plateforme sur laquelle nous n’avons absolument aucun contrôle », a déclaré Jepeggi. « À notre avis, cette situation et des centaines d’autres qui se sont produites dans d’autres projets dans l’espace NFT auraient pu facilement être évitées si Discord avait une meilleure équipe de réponse/support/fraude pour aider de grands projets comme le nôtre. »

Discord a affirmé être au courant de l’incident et être en contact avec l’équipe concernée.

“Notre confiance & amp; L’équipe de sécurité est en contact avec les propriétaires des serveurs et enquête sur l’incident « , a déclaré Peter Day, responsable principal des communications d’entreprise de Discord. » Notre équipe intervient lorsque nous avons connaissance d’attaques comme celle-ci, y compris l’interdiction des utilisateurs et l’arrêt des serveurs. « .