7?月?17日,据慢雾区情报反馈,Premint遭遇黑客攻击。慢雾安全团队在第一时间进行分析和预警。
本文来自慢雾区伙伴ScamSniffer的投稿,具体分析如下:
攻击细节
打开任意Premint项目页面,可以看到有个cdn.min.js注入到了页面中,看调用栈该js是由(https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js)注入,目前该s3-redwood-labs-premint-xyz.com域名已经停止解析,无法正常访问了。
Hogwarts Labs宣布完成Pre-A轮融资,累计融资800万美元:6月1日消息,专注Web3+AI的dApps研发公司Hogwarts Labs宣布完成Pre-A轮融资,累计融资800万美元,HashGlobal、经纬创投、XIN Family和DHVC领投,SevenX、Alliance、SKY9、NGC Ventures、EVG、No Limit Holdings、Stratified Capital、Old Fashion Research、North Beta Capital和Puzzle Ventures等参投。
据悉,Hogwarts Labs致力于通过在Web3和AI领域持续开发dApps和Appchain以加快大规模采用。旗下首款产品QuestN是服务于Web3领域的一站式营销、增长和分析平台,目前总用户数已突破250万,DAU超8万。同时Hogwarts Labs宣布第二款服务Web3用户的AI助理产品将不早于Q4发布。[2023/6/1 11:52:45]
查询Whois,该域名在2022-07-16注册于TucowsDomainsInc:
元宇宙引擎公司VS·work完成数千万人民币pre-A轮融资:4月27日消息,元宇宙引擎公司VS·work近日宣布完成pre-A轮数千万人民币融资,领投方为金雨茂物投资管理。具体金额未披露,资金将主要用于市场推广与产品迭代。此外,VS·work的新一轮融资也即将启动。据了解,VS·work已开发出针对不同线下场景实现替代的虚拟空间及协作工具,为打造一个虚拟宇宙进行准备。在具体业务上,VS·work定位为虚拟空间提供方,对客户的服务主要在于虚拟空间租赁。(同花顺)[2022/4/27 5:14:13]
打开virustotal.com可以看到该域名之前曾解析到CloudFlare:
打开源代码可以看到boomerang.min.js是Premint用到的一个UI库:
Entropy完成195万美元Pre-Seed轮融资,Dragonfly Capital领投:1月14日消息,去中心化资产托管协议Entropy宣布完成195万美元Pre-Seed轮融资,Dragonfly Capital领投,The LAO、P2P Capital以及多位天使投资人参投。新融资将用于最终确定其协议规范,并建立产品团队。[2022/1/14 8:49:22]
该js是在s3-redwood-labs.premint.xyz域名下,猜测:
上传文件接口有漏洞可以上传任意文件到任意Path
黑客拿到了他们这个AmazonS3的权限,从而可以注入恶意代码
这个第三方库被供应链攻击污染了
把boomerang.min.js代码下载下来,前面都是正常的代码,但是末尾有一段经过加密的代码:
这段代码负责把代码s3-redwood-labs-premint-xyz.com/cdn.min.js注入到页面。
元宇宙社交应用“Tagging”完成数千万元Pre-A轮融资:11月17日消息,元宇宙社交应用“Tagging”已于近日完成数千万元Pre-A轮融资,投资方为磊梅瑞斯创投、棕熊资本。据Tagging创始人柴舸洋介绍,本轮融资资金将主要用于产品研发、系统搭建。(鞭牛士)[2021/11/17 6:56:35]
恶意代码cdn.min.js
区块链企业“kola”获1500万美元Pre-A轮融资:总部位于新加坡的区块链+供应链金融综合服务解决方案服务商“kola”获得国雄资本1500万美元Pre-A轮融资 ,本轮融资将推动kola在东南亚和北美市场的扩张。据介绍,kola还将利用最新资金持续投入核心技术的创新研发、生态体系建设和创新人才储备及培养等。[2021/8/13 1:53:36]
根据代码内容,可以大致看到有通过调用dappradar.com的接口来查询用户的NFT资产列表。
如果用户持有相关NFT资产:
恶意代码会以Two-stepwallet验证的借口,发起setApprovalForAll让用户授权给他们后端接口返回的地址。
如果用户点了Approve,攻击者还会调用监测代码通知自己有人点击了:
如果当用户地址没有NFT资产时,它还会尝试直接发起转移钱包里的ETH的资产请求:
另外这种代码变量名加密成_0xd289_0x开头的方式,我们曾经在play-otherside.org,thesaudisnfts.xyz这些钓鱼网站也见到过。
根据用户资产发起setApprovalForAll或者直接转移ETH,并且阻止用户使用开发者工具debug。
预防方式
那么作为普通用户如何预防?现阶段MetaMask对ERC721的setApprovalForAll的风险提示,远没有ERC20的Approve做得好。
即使很多新用户无法感知到这个行为的风险,但我们作为普通用户看到带Approve之类的交易一定要仔细打开授权给相关地址,看看这些地址最近的交易是否异常,避免误授权!
这种攻击和上次Etherscan上Coinzilla利用广告注入恶意的攻击方式挺相似的,那么在技术上有没有可能预防?
理论上如果已知一些恶意js代码的行为和特征:
比如说代码的加密方式
恶意代码关键特征
代码会反debug
会调用opensea,debank,dappradar等API查询用户资产
根据这些恶意代码的行为特征库,那么我们可以尝试在客户端网页发起交易前,检测页面有没有包含已知恶意特征的代码来探测风险,或者直接更简单一点,对常见的网站设立白名单机制,不是交易类网站发起授权,给到足够的风险提醒等。
接下来ScamSniffer和慢雾安全团队也会尝试探索一下如何在客户端来预防此类的攻击发生!
Ps.感谢作者ScamSniffer的精彩分析!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。