北京时间2022年7月17日,CertiK安全团队监测到知名NFT平台Premint NFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。
漏洞分析
黑客将恶意JavaScript代码上传至项目官网https://premint.xyz,恶意代码通过URL注入网站:https://s3-redwood-labs-premint-xyz[.]com/cdn.min.js?v=1658046560357,目前域名服务器不再存在,因此恶意文件不再可用。
该攻击导致用户在将他们的钱包连接到该网站时会被指示 "全部批准(set approvals for all)",从而使得攻击者可访问钱包中的资产。
链上分析
有六个外部拥有账户 (EOAs)与此次攻击直接相关
摩根士丹利:预计美国加快缩债 美债收益率将走高:摩根士丹利表示,美联储可能在12月宣布缩债,并从明年1月开始行动,这有望推高美债收益率,因投资者为美联储尽早加息做准备。摩根士丹利此前预期美联储在2022年3月宣布缩债。如果12月宣布缩债,投资者可能会期待加息的时点,从而推高美债收益率。市场可能计价从2023年第二季度开始加息2.5次左右的可能性,这将在短期内将十年期美债收益率推高至1.60%左右。若基建法案获得通过,十年期美债收益率可能得到约20个基点的提升,在年底前达到1.80%左右。 (金十)[2021/8/15 1:55:44]
0x28733...
0x0C979...
0x4eD07...
0x4499b...
0x99AeB...
0xAAb00...
根据CertiK的评估,此次攻击开始于北京时间7月17日下午03:25,即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。
一位用户声称2个Goblintown NFTs被盗
在OpenSea上搜索这两个NFT,可以看到它们是如何交易的。同样,也可以通过搜索找到窃取NFT的钱包——EOA 0x0C979…
通过监测NFT的流动,我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式:大量资产流入,随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……,其也为0x28733……提供了资金。
重复上述检测,可以确认0x28733……也参与了黑客攻击。
一名受害者发帖称,他们的Moonbirds Oddities被盗
在Etherscan搜索用户名称,显示Moonbird NFT被交易至EOA 0x28733……
该地址的流动模式与EOA 0x0C979…相同——大量资产流入,随后被迅速抛售。
这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT(价值约37.5万美元),
针对这次攻击,Premint的推特账户发布了一个警告:不要签署“全部批准(set approvals for all)”的交易,并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。
目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。
资产去向
272 ETH (价值约37万美元) 目前存储于:https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。
其余2.68 ETH(价值约3636美元)存储于:https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3?
此次攻击事件的部分黑客交易尚在等待处理中。
写在最后
The Bored Ape Yacht Club NFT (BAYC) 网络钓鱼攻击事件(损失约31.9万美元)及NFT艺术家 Beeple的Twitter账户被盗事件(导致其粉丝损失了价值约43.8万美元的NFT和加密货币)已充分说明了Web2.0在中心化问题上的脆弱性。
为了避免这种情况的发生,Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证,并在每次交互后撤销特权。
随着熊市的到来,各类X 2 Earn的问题也逐渐暴露出来。 首当其冲的便是Axie和Stepn这两个龙头公司,Play 2 Earn与Move 2 Earn的代表,SLP与GST都已经下跌了99%以上。 去年辞职在家专业打金的菲律宾老伙计们,估计今年很多都得回去继续找工作了。
NFT 如何定价一直是一个有趣的话题。因为定价是一个不可避免的中间操作,包含着可计算和不可计算的两部分问题,在任何 NFT Fi 的应用场景下都需要解决。想要将 NFT 普遍应用到 DeFi 中,彻底激活 NFT 的流动性,首先我们需要对 NFT 这一资产价值做出尽可能真实且能被广泛接受的估值判断。
1.DeFi代币总市值:445.51亿美元DeFi总市值 数据来源:coingecko 2.过去24小时去中心化交易所的交易量50.47亿美元过去24小时去中心化交易所的交易量 数据来源:coingecko 3.DeFi中锁定资产:840.3亿美元DeFi项目锁定资产前十排名及锁仓量 数据来源:defillama NFT数据 1.NFT总市值:199。
作者:Cesare Fracassi 我们应该如何评估最近加密货币价格的高点和低点?从市场效率的角度来看,加密货币价格反映了市场对数字资产未来前景的评估。这种角度可以帮助我们理解加密货币价格的历史趋势及其与整体金融市场的相关性: 在过去 5 年里,加密货币市场拥有巨大的回报,部分原因是机构和散户投资者的采用,以及奠定了 web3 的基础。
近日,Paradigm 研究合伙人 Dan Robinson 在推特上表示:事实证明,如果没有区块链奖励,就不可能拥有安全的POW区块链,并发起了一项“你更愿意比特币如何改变”的投票。随后众多KOL展开了互动,其中V神的观点获得了最广泛的支持,他表示对 POW+POS 的混合机制寄予厚望。
单体区块链在它们持续的时候很好。 但是因为他们试图在每个节点中做所有事情(共识、数据可用性、结算和执行),他们最终遭遇了区块链三难困境的问题。 想要去中心化的安全性?那你就得接受这会是一条缓慢的链。想创建一个安全性高的快速 TPS 链吗?那你就得放下去中心化。 模块化链通过将区块链的许多角色分割成不同的层来绕过这个问题。