CertiK首发:Web2.0旧疾难去Premint NFT被盗事件分析

北京时间2022年7月17日,CertiK安全团队监测到知名NFT平台Premint NFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。

CertiK首发:Web2.0旧疾难去Premint NFT被盗事件分析

北京时间2022年7月17日,CertiK安全团队监测到知名NFT平台Premint NFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。

漏洞分析

黑客将恶意JavaScript代码上传至项目官网https://premint.xyz,恶意代码通过URL注入网站:https://s3-redwood-labs-premint-xyz[.]com/cdn.min.js?v=1658046560357,目前域名服务器不再存在,因此恶意文件不再可用。

CertiK首发:Web2.0旧疾难去Premint NFT被盗事件分析
CertiK首发:Web2.0旧疾难去Premint NFT被盗事件分析

该攻击导致用户在将他们的钱包连接到该网站时会被指示 “全部批准(set approvals for all)”,从而使得攻击者可访问钱包中的资产。

链上分析

有六个外部拥有账户 (EOAs)与此次攻击直接相关

0x28733…

0x0C979…

0x4eD07…

0x4499b…

0x99AeB…

0xAAb00…

根据CertiK的评估,此次攻击开始于北京时间7月17日下午03:25,即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。

CertiK首发:Web2.0旧疾难去Premint NFT被盗事件分析

一位用户声称2个Goblintown NFTs被盗

在OpenSea上搜索这两个NFT,可以看到它们是如何交易的。同样,也可以通过搜索找到窃取NFT的钱包——EOA 0x0C979…

CertiK首发:Web2.0旧疾难去Premint NFT被盗事件分析

通过监测NFT的流动,我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式:大量资产流入,随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……,其也为0x28733……提供了资金。

重复上述检测,可以确认0x28733……也参与了黑客攻击。

CertiK首发:Web2.0旧疾难去Premint NFT被盗事件分析

一名受害者发帖称,他们的Moonbirds Oddities被盗

在Etherscan搜索用户名称,显示Moonbird NFT被交易至EOA 0x28733……

CertiK首发:Web2.0旧疾难去Premint NFT被盗事件分析

该地址的流动模式与EOA 0x0C979…相同——大量资产流入,随后被迅速抛售。

这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT(价值约37.5万美元),

针对这次攻击,Premint的推特账户发布了一个警告:不要签署“全部批准(set approvals for all)”的交易,并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。

CertiK首发:Web2.0旧疾难去Premint NFT被盗事件分析

目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。

资产去向

272 ETH (价值约37万美元) 目前存储于:https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。

其余2.68 ETH(价值约3636美元)存储于:https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3

此次攻击事件的部分黑客交易尚在等待处理中。

写在最后

The Bored Ape Yacht Club NFT (BAYC) 网络钓鱼攻击事件(损失约31.9万美元)及NFT艺术家 Beeple的Twitter账户被盗事件(导致其粉丝损失了价值约43.8万美元的NFT和加密货币)已充分说明了Web2.0在中心化问题上的脆弱性。

为了避免这种情况的发生,Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证,并在每次交互后撤销特权。

(声明:请读者严格遵守所在地法律法规,本文不代表任何投资建议)

(0)
上一篇 2022年7月18日 下午12:35
下一篇 2022年7月18日 下午2:37

相关推荐

  • Celsius陷入法律漩涡,被 SEC、司法部等提起诉讼

    根据美国司法部发布的文件,联邦调查局纽约办事处代理助理局长 Curtis 宣布启封起诉书,指控 Celsius Network LLC 创始人兼前首席执行官 Alex Mashinsky 及其子公司关联实体进行证券欺诈、商品欺诈和电汇欺诈。指控称,Alex Mashinsky 组织了一个欺诈计划,旨在欺骗 Celsius 的客户和抬高 CEL 价格,期间多次做出误导性和虚假称述,误导客户关于 Celsius 业务的核心方面,包括 Celsius 的成功和盈利能力以及 Celsius 使用客户资金进行的投资性质。

    2023年7月14日
    708
  • CFG Labs对话Hugging Face:打造机器学习的Github

    Hugging Face 最早是做 Chatbot 的,做的比较,当时大模型还没有出现,和 ChatGPT 没法比。后来 Google 发布了 Bird, Google 当时做了 TensorFlow, 不过社区已经逐步转向 Pytorch. 所以我们就做了 Pytorch 版的 Bird 副线,把 weights 经过一些办法转化 Pytorch 这种方式,并不是我们重新去训练, 结合这个就慢慢形成了 Transformers。

    2023年3月20日
    4.5K
  • Arthur Hayes:颠覆币圈印钞机

    随着冬去春来的脚步加快,我想重温一下一年前发表的「地壳上的灰尘」一文。在这篇文章中,我提出了如何创造一种不依赖于 TradFi 银行系统而存在的、有人工支持的法定稳定币。我的想法是将加密货币多头与空头的永续期货合约头寸对冲结合起来,创造出一种合成的法定货币单位。

    2024年3月11日
    63

发表回复

登录后才能评论
微信

联系我们
邮箱:whylweb3@163.com
微信:gaoshuang613