北京时间2022年7月17日,CertiK安全团队监测到知名NFT平台PremintNFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。
漏洞分析
黑客将恶意JavaScript代码上传至项目官网https://premint.xyz,恶意代码通过URL注入网站:https://s3-redwood-labs-premint-xyzcom/cdn.min.js?v=1658046560357,目前域名服务器不再存在,因此恶意文件不再可用。
friend.tech“账号Keys:排行榜:平台创始人Racer以2.91 ETH位列第一:8月24日消息,Dune数据显示,截止目前friend.tech平台用户“账号 Keys”价格排名前五:
平台创始人Racer以2.91 ETH价格排名第一;
加密交易员 L 以2.15 ETH价格排名第二;
加密KOL Hsaka 以1.80 ETH价格排名第三;
加密KOL Cobie 以1.78 ETH价格暂列第四;
NDV联创Christian2022.mid以1.65 ETH的价格排名第五。[2023/8/24 18:19:17]
Balancer:漏洞尚未被利用,建议用户尽快提款:8月23日消息,Balancer在推特上发文更新漏洞修复进展,由于团队采取紧急措施,Balancer上最初被认为存在漏洞的超过97%的流动资金现已安全。漏洞尚未被利用,但部分资金(约占其TVL的0.89%)仍存在风险,建议用户尽快提款。[2023/8/23 18:17:06]
该攻击导致用户在将他们的钱包连接到该网站时会被指示"全部批准",从而使得攻击者可访问钱包中的资产。
链上分析
CertiK:警惕假冒FRIEND空投的网站:金色财经消息,据CertiK官方推特发布消息称,警惕假冒FRIEND空投的网站,请用户切勿与相关链接互动,已知的假冒网站会连接到一个已知的自动盗币地址。[2023/8/21 18:12:37]
有六个外部拥有账户(EOAs)与此次攻击直接相关
0x28733...
0x0C979...
0x4eD07...
0x4499b...
0x99AeB...
0xAAb00...
根据CertiK的评估,此次攻击开始于北京时间7月17日下午03:25,即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。
去中心化交易协议Balancer拟于3月发布V2版 目前正在进行内部审计:去中心化交易协议Balancer(BAL)宣布计划于今年3月份发布BalancerV2版本,目前正在进行内部审计。BalancerV2的升级内容或功能主要包括机池(Vault)将适用于所有Balancer池添加的所有资产、提升Gas效率、提高资本效率、较低的Gas成本和富有弹性的预言机、由社区管理的协议费用以及无需许可、可自定义的AMM逻辑等。其中,协议费用包括交易费用、资产撤回费用以及短期贷款费用,将由治理决定。[2021/2/3 18:45:39]
一位用户声称2个GoblintownNFTs被盗
在OpenSea上搜索这两个NFT,可以看到它们是如何交易的。同样,也可以通过搜索找到窃取NFT的钱包——EOA0x0C979…
通过监测NFT的流动,我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式:大量资产流入,随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……,其也为0x28733……提供了资金。
重复上述检测,可以确认0x28733……也参与了黑客攻击。
一名受害者发帖称,他们的MoonbirdsOddities被盗
在Etherscan搜索用户名称,显示MoonbirdNFT被交易至EOA0x28733……
该地址的流动模式与EOA0x0C979…相同——大量资产流入,随后被迅速抛售。
这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT,
针对这次攻击,Premint的推特账户发布了一个警告:不要签署“全部批准”的交易,并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。
目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。
资产去向
272ETH(价值约37万美元)目前存储于:https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。
其余2.68ETH存储于:https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3
此次攻击事件的部分黑客交易尚在等待处理中。
写在最后
TheBoredApeYachtClubNFT(BAYC)网络钓鱼攻击事件及NFT艺术家Beeple的Twitter账户被盗事件已充分说明了Web2.0在中心化问题上的脆弱性。
为了避免这种情况的发生,Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证,并在每次交互后撤销特权。
标签:NFTINTTHEETHPIXLS Vault (NFTX)blockchaintechnology怎么读See The World Though Carstether币价格
据区块链浏览器TRONSCAN数据,截至6月10日,波场TRON账户总数达到97,069,472,正式突破9700万.
区块链浏览器TRONSCAN最新数据显示,截至8月27日,波场TRON账户总数达到109,025,247,正式突破1.09亿.
Polkadot生态研究院出品,必属精品 背景 近年来,受全球疫情和经济形势波动的影响,中小微企业受到了较大的冲击,然而中小企业和民营企业在国民经济中一直以来都承担着相当重要的角色.
为什么USDC的市场主导地位再次下跌,而Tether的USDT却在上升?尽管今年加密货币市场急剧下滑,但稳定币发行者之间却又酝酿着一场新的战争.
作为领先的加密货币交易平台之一,AAX最近宣布推出AAX影响力实验室(AAXImpactLab),专注于促进加密和区块链领域的创新.
Polkadot生态研究院出品,必属精品 背景 几周前因为知名媒体的一篇《300万人的第一双“虚拟鞋”》,StepN彻底在国内互联网圈火了一把,甚至引来了知名媒体大V刘润老师的撰文.