北京时间2022年7月17日,CertiK安全团队监测到知名NFT平台PremintNFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。
漏洞分析
黑客将恶意JavaScript代码上传至项目官网https://premint.xyz,恶意代码通过URL注入网站:https://s3-redwood-labs-premint-xyzcom/cdn.min.js?v=1658046560357,目前域名服务器不再存在,因此恶意文件不再可用。
Balancer 2.0版本将降低DeFi交易的Gas费用:金色财经报道,去中心化交易协议Balancer将发布2.0版本,该版本将被委托的所有资产放在一个大的保险库中。这将极大地降低去中心化金融(DeFi)交易的Gas费用,因为用户可以根据需要随意交易,只需要为进入和离开Balancer支付Gas费用。[2021/2/3 18:44:48]
IOST与Blocery达成深度合作 携手变革韩国农产品流通领域:据IOST官网消息,近日IOST与Blocery达成深度合作。通过本次合作,IOST将与Blocery共同依托区块链底层技术,携手变革韩国农产品流通领域,打造更多链接线下的优质应用,加速促进全球生态落地。
Blocery是一个连接农产品的区块链平台,专注于解决现有食品供应链的流通问题,目前已在韩国获得多项相关区块链技术专利,2017年以来一直与韩国政府保持紧密合作。Blocery母公司EzFarm是一家的韩国领先的农业科技公司,年销售额超1000万。EzFarm将农业与IT技术相结合,提供智慧农场、农场生产管理、农产品直销配送等平台服务。[2020/11/18 21:12:57]
该攻击导致用户在将他们的钱包连接到该网站时会被指示"全部批准",从而使得攻击者可访问钱包中的资产。
链上分析
Balancer总锁仓价值超过10亿美元:金色财经报道,DeFi Pulse数据显示,Balancer已成为第四个总锁仓价值达到10亿美元的DeFi协议,其总锁仓价值目前约为10.6亿美元。[2020/8/29]
有六个外部拥有账户(EOAs)与此次攻击直接相关
0x28733...
0x0C979...
0x4eD07...
0x4499b...
0x99AeB...
0xAAb00...
根据CertiK的评估,此次攻击开始于北京时间7月17日下午03:25,即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。
公告 | Taxa Network已通过区块链安全公司CertiK智能合约安全审计:Taxa团队宣布已通过区块链安全公司CertiK智能合约的安全审计,这将确保Taxa主网在今年春天顺利发布。CertiK的智能标签对TXT智能合约源代码进行了100%形式化验证覆盖,并辅以安全专家人工逐行审核。审计结果认为TXT智能合约结构坚固,不存在整数溢出、函数错误、缓冲区溢出等漏洞。[2020/2/13]
一位用户声称2个GoblintownNFTs被盗
在OpenSea上搜索这两个NFT,可以看到它们是如何交易的。同样,也可以通过搜索找到窃取NFT的钱包——EOA0x0C979…
韩国世宗电信与区块链公司Certon签署MOU合作:今日韩国世宗电信(SEJONG Telecom)与区块链公司Certon签署了战略性MOU合作,将推动电子文书流通行业的发展。通过这次的合作,Certon公司将利用X-Chain技术搭建电子文件区块链平台“Aston”并结合其现有的基础设施和ICT技术,开发新一代电子文件流通平台。[2018/3/15]
通过监测NFT的流动,我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式:大量资产流入,随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……,其也为0x28733……提供了资金。
重复上述检测,可以确认0x28733……也参与了黑客攻击。
一名受害者发帖称,他们的MoonbirdsOddities被盗
在Etherscan搜索用户名称,显示MoonbirdNFT被交易至EOA0x28733……
该地址的流动模式与EOA0x0C979…相同——大量资产流入,随后被迅速抛售。
这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT,
针对这次攻击,Premint的推特账户发布了一个警告:不要签署“全部批准”的交易,并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。
目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。
资产去向
272ETH(价值约37万美元)目前存储于:https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。
其余2.68ETH存储于:https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3?
此次攻击事件的部分黑客交易尚在等待处理中。
写在最后
TheBoredApeYachtClubNFT(BAYC)网络钓鱼攻击事件及NFT艺术家Beeple的Twitter账户被盗事件已充分说明了Web2.0在中心化问题上的脆弱性。
为了避免这种情况的发生,Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证,并在每次交互后撤销特权。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。