北京时间2022年7月17日,CertiK安全团队监测到知名NFT平台PremintNFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。
漏洞分析
黑客将恶意JavaScript代码上传至项目官网https://premint.xyz,恶意代码通过URL注入网站:https://s3-redwood-labs-premint-xyzcom/cdn.min.js?v=1658046560357,目前域名服务器不再存在,因此恶意文件不再可用。
Ronin钱包允许用户使用社交账户登录:3月21日消息,Ronin Network 宣布 Ronin 钱包新增支持社交登陆,允许用户使用电子邮件或社交账户登录。Ronin 表示,目前用户可以使用他们的 Google、Apple、Facebook 或 Twitter 账户创建 Ronin 钱包。[2023/3/21 13:16:33]
外媒:纽约金融服务部称Paxos并未以“安全稳健”的方式管理BUSD:金色财经报道,纽约金融服务部(NYDFS)的一位发言人周一告诉路透社,Paxos Trust Company对币安稳定币BUSD的管理使其开放供不良行为者使用。该发言人称,Paxos“违反了对币安和Paxos发行的BUSD客户进行量身定制的定期风险评估和尽职调查更新的义务,以防止不良行为者使用该平台,该代币没有以安全稳健的方式被管理”。
此前报道,该州金融监管机构此前曾责令Paxos停止发行新的Binance USD。NYDFS表示,由于与Paxos监督其与Binance的合作有关的几个未解决问题,它已指示Paxos停止铸造稳定币,Paxos表示将终止与币安的BUSD合作关系。[2023/2/14 12:04:58]
该攻击导致用户在将他们的钱包连接到该网站时会被指示"全部批准",从而使得攻击者可访问钱包中的资产。
Azuki推出的虚拟城市Hilumia将连接数字世界和物理世界:金色财经报道,Hilumia是一个由社区塑造的交互式虚拟城市,并将随着时间的推移而扩展,其原生的物理支持令牌 (PBT) 将其生态系统连接在一起。还将通过其物理支持令牌 (PBT) 连接数字世界和物理世界。
此前消息,Azuki推出虚拟城市“Hilumia”。[2023/1/15 11:12:52]
链上分析
有六个外部拥有账户(EOAs)与此次攻击直接相关
0x28733...
0x0C979...
0x4eD07...
0x4499b...
0x99AeB...
0xAAb00...
根据CertiK的评估,此次攻击开始于北京时间7月17日下午03:25,即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。
法国经济和财政部秘书长 Barbat-Layani 已被批准担任法国金融市场管理局主席:10月19日消息,法国经济和财政部秘书长Barbat-Layani已被批准接替RobertOphèle担任法国金融市场管理局(AMF)的主席,负责注册加密货币公司和传统金融机构,立法者以55-28票赞成其任命。此外,Barbat-Layani在周二的听证会上向获得许可的加密货币公司发出警告,提醒立法者,许可证一旦被授予,也可以被收回。此前报道,法国财政部长BrunoLeMaire重申法国希望成为加密货币中心的愿望。[2022/10/19 17:32:45]
孙宇晨:振兴Huobi的关键就是赋能HT:据最新消息,格林纳达常驻世界贸易组织代表、特命全权大使、波场TRON创始人孙宇晨先生阁下在推特发文表示:今天是我入职Huobi第二天,我代表Huobi Global顾问委员会发言,我们深知振兴Huobi的关键就是赋能HT,HT兴火币才能兴。未来将有许多大动作围绕HT展开,包括品牌升级,重磅赋能,商务合作,我们会团结一切能团结的力量,共同把Huobi Global做好。[2022/10/10 10:30:05]
一位用户声称2个GoblintownNFTs被盗
在OpenSea上搜索这两个NFT,可以看到它们是如何交易的。同样,也可以通过搜索找到窃取NFT的钱包——EOA0x0C979…
通过监测NFT的流动,我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式:大量资产流入,随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……,其也为0x28733……提供了资金。
重复上述检测,可以确认0x28733……也参与了黑客攻击。
一名受害者发帖称,他们的MoonbirdsOddities被盗
在Etherscan搜索用户名称,显示MoonbirdNFT被交易至EOA0x28733……
该地址的流动模式与EOA0x0C979…相同——大量资产流入,随后被迅速抛售。
这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT,
针对这次攻击,Premint的推特账户发布了一个警告:不要签署“全部批准”的交易,并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。
目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。
资产去向
272ETH(价值约37万美元)目前存储于:https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。
其余2.68ETH存储于:https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3?
此次攻击事件的部分黑客交易尚在等待处理中。
写在最后
TheBoredApeYachtClubNFT(BAYC)网络钓鱼攻击事件及NFT艺术家Beeple的Twitter账户被盗事件已充分说明了Web2.0在中心化问题上的脆弱性。
为了避免这种情况的发生,Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证,并在每次交互后撤销特权。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。