北京时间2022年7月17日,CertiK安全团队监测到知名NFT平台PremintNFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。
漏洞分析
黑客将恶意JavaScript代码上传至项目官网https://premint.xyz,恶意代码通过URL注入网站:https://s3-redwood-labs-premint-xyzcom/cdn.min.js?v=1658046560357,目前域名服务器不再存在,因此恶意文件不再可用。
该攻击导致用户在将他们的钱包连接到该网站时会被指示"全部批准",从而使得攻击者可访问钱包中的资产。
NBA球员Spencer Dinwiddie将创建Calaxy平台,帮助艺人创建加密货币:据Decrypt报道,NBA布鲁克林篮网队球星斯宾塞·丁威迪(Spencer Dinwiddie)将创建Calaxy平台,帮助运动员和艺人创建自己的加密货币,以使其从纪念品销售、演出等各种活动中受益。Calaxy平台预计于今年启动。[2021/2/10 19:24:10]
链上分析
有六个外部拥有账户(EOAs)与此次攻击直接相关
0x28733...
0x0C979...
0x4eD07...
Balancer总锁仓价值超过10亿美元:金色财经报道,DeFi Pulse数据显示,Balancer已成为第四个总锁仓价值达到10亿美元的DeFi协议,其总锁仓价值目前约为10.6亿美元。[2020/8/29]
0x4499b...
0x99AeB...
0xAAb00...
根据CertiK的评估,此次攻击开始于北京时间7月17日下午03:25,即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。
一位用户声称2个GoblintownNFTs被盗
CertiK宣布完成对跨链DeFi平台Kava的CDP和拍卖模块的代码审计:区块链安全公司CertiK宣布完成对跨链DeFi协议Kava的CDP和拍卖模块的代码审计,并发布完整审计报告。报告显示,CertiK发现并修复了可能导致未经授权的访问、资金损失、级联故障等已知漏洞以及其他安全漏洞,最终审计结果为Kava交付代码具有非常高的置信度。整个审计过程历时6周。[2020/7/15]
在OpenSea上搜索这两个NFT,可以看到它们是如何交易的。同样,也可以通过搜索找到窃取NFT的钱包——EOA0x0C979…
通过监测NFT的流动,我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式:大量资产流入,随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……,其也为0x28733……提供了资金。
重复上述检测,可以确认0x28733……也参与了黑客攻击。
一名受害者发帖称,他们的MoonbirdsOddities被盗
在Etherscan搜索用户名称,显示MoonbirdNFT被交易至EOA0x28733……
该地址的流动模式与EOA0x0C979…相同——大量资产流入,随后被迅速抛售。
这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT,
针对这次攻击,Premint的推特账户发布了一个警告:不要签署“全部批准”的交易,并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。
目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。
资产去向
272ETH(价值约37万美元)目前存储于:https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。
其余2.68ETH存储于:https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3?
此次攻击事件的部分黑客交易尚在等待处理中。
写在最后
TheBoredApeYachtClubNFT(BAYC)网络钓鱼攻击事件及NFT艺术家Beeple的Twitter账户被盗事件已充分说明了Web2.0在中心化问题上的脆弱性。
为了避免这种情况的发生,Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证,并在每次交互后撤销特权。
本文来自彭博社,原文作者:HannahMillerOdaily星球日报译者|念银思唐总部位于迈阿密区块链安全公司Halborn宣布完成9000万美元A轮融资.
1900/1/1 0:00:00为庆祝ETR上线CoinW,CoinW将开启“交易ETR,最高可得50,000枚ETR奖励!”活动.
1900/1/1 0:00:00全网都在说的价值投资,到底是什么???作为一名投资人,价值投资几个字想必你不陌生,从本杰明格雷厄姆,到巴菲特,再到张磊,这些全球顶级投资大佬,无一不是价值投资策略的拥趸.
1900/1/1 0:00:00為了提升服務質量,進一步優化用戶交易體驗,AAX計劃於2022年7月20日17:00(東八區時間)開始進行ETCUSDT,EOSUSDT兩個幣對的現貨交易維護,預計維護時間為15分鐘.
1900/1/1 0:00:00据分析公司Coincub发布的最新季度全球加密国家排名显示,德国和美国共同占主导地位,主要由于先进的监管政策和主流机构对比特币的投资.
1900/1/1 0:00:00尊敬的BIKA用户:品牌升级活动周边整齐出场,拉杆箱、双肩背包、T恤、帽子、定制礼品等你来领;新人最高可领588U体验金,好礼已来.
1900/1/1 0:00:00