CertiK首发:Web2.0旧疾难去,Premint NFT被盗事件分析-ODAILY_SEA:WEED

北京时间2022年7月17日,CertiK安全团队监测到知名NFT平台PremintNFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。

漏洞分析

黑客将恶意JavaScript代码上传至项目官网https://premint.xyz,恶意代码通过URL注入网站:https://s3-redwood-labs-premint-xyzcom/cdn.min.js?v=1658046560357,目前域名服务器不再存在,因此恶意文件不再可用。

CertiK:警惕假冒Lido推特账号和钓鱼链接:1月7日消息,CertiK Alert提醒称,警惕发布钓鱼链接的假冒Lido推特账号,请勿与lidofinance[.]world交互。[2023/1/7 11:00:02]

该攻击导致用户在将他们的钱包连接到该网站时会被指示"全部批准",从而使得攻击者可访问钱包中的资产。

元宇宙资产抵押借贷平台XCarnival过CertiK四轮审计:10月10日消息,根据CertiK的官方网站,元宇宙资产抵押借贷平台XCarnival过CertiK四轮审计。CertiK在评估了XCarnival的底层代码后,证明XCarnival是安全的,可以实施。这是对向所有用户开放的metaverse资产清算聚合器的认可。根据审计报告,所有严重错误均已解决。具体而言,审计师将测试重点放在测试XCarnival的智能合约对攻击保持弹性的能力,代码的逻辑是否按照XCarnival创建者的要求正常运行,代码的唯一性以及是否符合行业最佳实践。随着XCarnival计划启动主网,发布XBroker和Megabox。XCarnival的核心智能合约被证明是安全的,可以实施。Certik确认XBroker和Megabox代码是安全的,参与者将通过耕作提供流动性而获得奖励。同时,NFT、山寨币和LP代币现在可以作为资金的抵押品解锁。(BTC Peers)[2021/10/10 20:18:33]

链上分析

Seaweed Finance:因审计机构Certik对Seaweed的二次审计,Dapp上线时间将推迟:据Seaweed Finance官方消息,为进一步确保Seaweed Dapp链上数据安全性,Seaweed 已邀请审计机构Certik,对其进行二次审计,目前审计流程已开启。

此前Seaweed已通过Armors关于solidity合约的审计。Seaweed CTO Coke表示,Dapp上线时间推迟的决定,是Seaweed开发团队在权衡未来用户交易资金安全性后做出的慎重决策,相信Seaweed社区广大用户会理解,并支持“Seaweed将维护用户交易资金安全进行到底”所采取的一切措施。Seaweed Dapp上线时间将于近期在其官网公示。

Seaweed Finance 是基于HECO链上的期权衍生品交易平台,通过利用BSM定价模型和AMM流动性池,Seaweed旨在为DeFi生态系统建立一个金融衍生平台。[2021/3/18 18:56:48]

有六个外部拥有账户(EOAs)与此次攻击直接相关

声音 | Larry Cermak:今日ETH/BTC价格跌至875天以来低点:The Block分析师Larry Cermak发推称,今日ETH/BTC价格跌至875天以来低点。上一次达到此低点是在2017年3月12日。[2019/8/4]

0x28733...

0x0C979...

0x4eD07...

0x4499b...

0x99AeB...

0xAAb00...

根据CertiK的评估,此次攻击开始于北京时间7月17日下午03:25,即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。

一位用户声称2个GoblintownNFTs被盗

在OpenSea上搜索这两个NFT,可以看到它们是如何交易的。同样,也可以通过搜索找到窃取NFT的钱包——EOA0x0C979…

通过监测NFT的流动,我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式:大量资产流入,随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……,其也为0x28733……提供了资金。

重复上述检测,可以确认0x28733……也参与了黑客攻击。

一名受害者发帖称,他们的MoonbirdsOddities被盗

在Etherscan搜索用户名称,显示MoonbirdNFT被交易至EOA0x28733……

该地址的流动模式与EOA0x0C979…相同——大量资产流入,随后被迅速抛售。

这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT,

针对这次攻击,Premint的推特账户发布了一个警告:不要签署“全部批准”的交易,并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。

目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。

资产去向

272ETH(价值约37万美元)目前存储于:https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。

其余2.68ETH存储于:https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3

此次攻击事件的部分黑客交易尚在等待处理中。

写在最后

TheBoredApeYachtClubNFT(BAYC)网络钓鱼攻击事件及NFT艺术家Beeple的Twitter账户被盗事件已充分说明了Web2.0在中心化问题上的脆弱性。

为了避免这种情况的发生,Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证,并在每次交互后撤销特权。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:0ms0-1:1ms