北京时间2022年7月17日,CertiK安全团队监测到知名NFT平台PremintNFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。
漏洞分析
黑客将恶意JavaScript代码上传至项目官网https://premint.xyz,恶意代码通过URL注入网站:https://s3-redwood-labs-premint-xyzcom/cdn.min.js?v=1658046560357,目前域名服务器不再存在,因此恶意文件不再可用。
Meta员工不满扎克伯格痴迷元宇宙:不知道要交付什么:金色财经报道,马克·扎克伯格对元宇宙的痴迷已经引发 Meta (原 Facebook)公司员工不满,他们认为“元宇宙已经成为扎克伯格唯一想谈论的事情”,以至于让许多为他工作的人感到沮丧。目前,Meta 公司已经组建特定于元宇宙的团队”,员工认为这是一个“将覆盖公司内所有团队”的团队,但不少人仍然非常困惑,一方面担心会煽动混乱和焦虑,另一方面是员工似乎并不真正知道要交付什么或做什么,Meta 迄今并没有连贯的元宇宙战略。(businessinsider)[2022/4/24 14:45:10]
“比特币到底是什么”登上抖音热榜:抖音热榜数据显示,比特币到底是什么”登上抖音热榜,现排名第2位,当前热度值为857.6w。[2021/2/23 17:43:36]
该攻击导致用户在将他们的钱包连接到该网站时会被指示"全部批准",从而使得攻击者可访问钱包中的资产。
链上分析
有六个外部拥有账户(EOAs)与此次攻击直接相关
0x28733...
0x0C979...
0x4eD07...
IT记者刘韧:区块链和互联网一样是创业公司机会,没BAT什么事:知名IT记者刘韧今日发表朋友圈说:“1996年到2004年,我对互联网的错误认识。1.1998年完成《知识英雄》,可以去做门户,但我选择写作《企业方法》,我当时的想法和现在很多人对区块链的认识相同,互联网还处在早期,我先将中国IT史写完,互联网机会有的是,等技术成熟了,我再介入不迟。结果到2000年我只有做Donews的机会了。2.《中国.com》很多篇幅写联想怎样转型互联网。我提问《杨元庆会不会掉队?》但依然看好杨元庆。区块链和互联网一样是创业公司机会,没BAT什么事,更不必去看京东的白皮书。3.以传统企业为本,传统企业崇拜,但传统企业使用互联网或互联网化,和互联网公司是两码事。今天传统企业Tokenize,肯定也不是区块链公司,别跟。”[2018/3/22]
0x4499b...
中国国际期货公司总裁王永利:为什么虚拟货币会引发危机:中国国际期货公司总裁王永利在其发表的文章'为什么虚拟货币会引发危机'中表示:“重视金融而忽略货币,注重货币金融的应用和热点问题的解析与应对,而忽略货币演变的真相、货币金融的逻辑,盲目追求金融发展和获利而过度脱离甚至损害实体经济,在推动金融加快发展的同时也在积累越来越严重的危机隐患,直至引发全球性金融大危机和经济大衰退。因此,重新探索货币的奥秘,有效掌控金融的魔力,准确把握货币金融的逻辑与规律,严控金融风险底线,发挥好货币金融的积极作用,控制其可能产生的负面作用,对全人类的和谐与发展都是非常必要的。这其中非常重要的一个切入口,就是准确把握记账清算及其对货币金融的深刻影响。”[2018/2/27]
0x99AeB...
0xAAb00...
根据CertiK的评估,此次攻击开始于北京时间7月17日下午03:25,即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。
一位用户声称2个GoblintownNFTs被盗
在OpenSea上搜索这两个NFT,可以看到它们是如何交易的。同样,也可以通过搜索找到窃取NFT的钱包——EOA0x0C979…
通过监测NFT的流动,我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式:大量资产流入,随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……,其也为0x28733……提供了资金。
重复上述检测,可以确认0x28733……也参与了黑客攻击。
一名受害者发帖称,他们的MoonbirdsOddities被盗
在Etherscan搜索用户名称,显示MoonbirdNFT被交易至EOA0x28733……
该地址的流动模式与EOA0x0C979…相同——大量资产流入,随后被迅速抛售。
这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT,
针对这次攻击,Premint的推特账户发布了一个警告:不要签署“全部批准”的交易,并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。
目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。
资产去向
272ETH(价值约37万美元)目前存储于:https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。
其余2.68ETH存储于:https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3
此次攻击事件的部分黑客交易尚在等待处理中。
写在最后
TheBoredApeYachtClubNFT(BAYC)网络钓鱼攻击事件及NFT艺术家Beeple的Twitter账户被盗事件已充分说明了Web2.0在中心化问题上的脆弱性。
为了避免这种情况的发生,Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证,并在每次交互后撤销特权。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。