链资讯 链资讯
Ctrl+D收藏链资讯
首页 > Luna > 正文

Premint 恶意代码注入攻击细节分析

作者:

时间:

7?月?17 日,据慢雾区情报反馈,Premint 遭遇黑客攻击。慢雾安全团队在第一时间进行分析和预警。

本文来自慢雾区伙伴 Scam Sniffer 的投稿,具体分析如下:

攻击细节

打开任意 Premint 项目页面,可以看到有个 cdn.min.js 注入到了页面中,看调用栈该 js 是由 [boomerang.min.js](https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js) 注入,目前该 s3-redwood-labs-premint-xyz.com 域名已经停止解析,无法正常访问了。

查询 Whois,该域名在 2022-07-16 注册于 Tucows Domains Inc:

打开 virustotal.com 可以看到该域名之前曾解析到 CloudFlare:

打开源代码可以看到 boomerang.min.js 是 Premint 用到的一个 UI 库:

Kraken宣布推出新风险基金以投资加密货币及科技创企:美国加密货币交易所Kraken发起成立风险投资基金KrakenVentures,以积极投资于早期加密货币和金融科技初创公司,包括加密、DeFi、金融科技、人工智能、机器和深度学习、监管技术以及其他创新领域等初创公司。KrakenVentures团队将由Kraken公司发展部主管BrandonGath以及Kraken其他两位资深人士KirillGourov和AkshiFederici领导。(CoinDesk)[2021/2/11 19:33:45]

该 js 是在 s3-redwood-labs.premint.xyz 域名下,猜测:

上传文件接口有漏洞可以上传任意文件到任意 Path (比较常见的 Web 漏洞)

黑客拿到了他们这个 Amazon S3 的权限,从而可以注入恶意代码

这个第三方库被供应链攻击污染了

把 boomerang.min.js 代码下载下来,前面都是正常的代码,但是末尾有一段经过加密的代码:

这段代码负责把代码 s3-redwood-labs-premint-xyz.com/cdn.min.js 注入到页面。

恶意代码 cdn.min.js

根据代码内容,可以大致看到有通过调用 dappradar.com 的接口来查询用户的 NFT 资产列表(此前我们也有看到恶意网站通过 Debank,Opensea 的 API 来查询用户资产等)。

如果用户持有相关 NFT 资产:

恶意代码会以 Two-step wallet 验证的借口,发起 setApprovalForAll 让用户授权给他们后端接口返回的地址(攻击者一般为了提高封禁成本,基本上会分流并且每个地址控制在 200 个交易内)。

如果用户点了 Approve,攻击者还会调用监测代码通知自己有人点击了:

如果当用户地址没有 NFT 资产时,它还会尝试直接发起转移钱包里的 ETH 的资产请求:

另外这种代码变量名加密成 _0xd289 _0x 开头的方式,我们曾经在 play-otherside.org,thesaudisnfts.xyz 这些钓鱼网站也见到过。

根据用户资产发起 setApprovalForAll 或者直接转移 ETH,并且阻止用户使用开发者工具 debug。

预防方式

那么作为普通用户如何预防?现阶段 MetaMask 对 ERC 721 的 setApprovalForAll 的风险提示,远没有 ERC20 的 Approve 做得好。

即使很多新用户无法感知到这个行为的风险,但我们作为普通用户看到带 Approve 之类的交易一定要仔细打开授权给相关地址,看看这些地址最近的交易是否异常(比如清一色的 safeTransferFrom),避免误授权!

这种攻击和上次 Etherscan 上 Coinzilla 利用广告注入恶意的攻击方式挺相似的,那么在技术上有没有可能预防?

理论上如果已知一些恶意 js 代码的行为和特征:

比如说代码的加密方式

恶意代码关键特征

代码会反 debug

会调用 opensea, debank, dappradar 等 API 查询用户资产

根据这些恶意代码的行为特征库,那么我们可以尝试在客户端网页发起交易前,检测页面有没有包含已知恶意特征的代码来探测风险,或者直接更简单一点,对常见的网站设立白名单机制,不是交易类网站发起授权,给到足够的风险提醒等。

接下来 Scam Sniffer 和慢雾安全团队也会尝试探索一下如何在客户端来预防此类的攻击发生!

Ps. 感谢作者 Scam Sniffer 的精彩分析!

标签:MINPREREMMINTMinter HUBPREZ价格REM币MINTI币

Luna热门资讯
给加密投资者的 45 条建议:如何甄别项目 谨慎投资?

原文标题:《小浣熊投资概念杂谈 50 则(极主观也许错)》 撰文:Raccoon Chan 小浣熊 1. 不要迷信 BTC.d,2020 之后进圈的人,不到两成有 BTC,他们避险也不会换成大饼,另外大饼在 DeFi 和 CeFi 的 LTV 高,隐含的槓杆更大,你拿着 Shitcoin 固然解锁会砸,但是是之后的事。

为什么NFT在加密货币的文艺复兴中不可或缺?

原文作者:0xJosh.nft 原文编译:TechFlow intern 印刷术被认为人类历史上最重要的发明之一。我采访了历史学家 JoshuaRosenthal,但他认为 NFT 比印刷术更重要。那么,为什么 NFT 对社会产生的影响比印刷术更深刻?这篇文章是关于此次博客的内容分解。 文艺复兴时期解放了等级结构和霸权,定义了我们今天生活的世界。

深入了解zkSync 2.0架构、核心基础设施

原文作者:水多多|zkSync 我可以把你比作夏日吗? 你的可扩展性和安全性更高。 狂风确实震撼了五月亲爱的心灵, 夏天的租约日期太短了。 ——中本聪莎士比亚,2021 面对最大的技术挑战,我们开始在与 EVM 兼容的环境中部署智能合约。测试网的第一个版本已经上线:您已经可以使用区块浏览器查看 zkSync 2.0 上的活动。

数字藏品+非遗文化+潮宏基=N重可能性

随着元宇宙、Web3.0概念的兴起以及区块链等技术的发展,全球数字经济进入新的阶梯,这其中数字藏品无疑是最具代表性的产物。 从短期来看,数字藏品与品牌、IP、潮流艺术等内容结合,对文创市场起到了巨大的推动。从长期来看,数字藏品具备收藏、社交等价值属性,将成为元宇宙时代下的公司不可或缺的数字资产。

金色早报 | 以太坊研究员:合并是以太坊接替比特币的机会

头条 ▌以太坊研究员:合并是以太坊接替比特币的机会 金色财经消息,以太坊研究员 Vivek Raman在接受采访时表示,仅从经济角度来看,以及由于供应量因素的影响,以太坊确实有机会超越比特币。Raman指出:“合并后,以太坊的通胀率将低于比特币。特别是在费用燃烧的情况下,以太坊将通货紧缩,而比特币将始终处于通胀状态。尽管比特币每减半,通胀率就会下降。

拍卖行作VC 第一次出手就投了个Web3

文:黎曼 又是收购,又是投资,佳士得现在的“数字含量”有多少? 古老而传统的拍卖行,迈向科技最前沿尝鲜了。 近期,作为世界上最大的拍卖行之一的佳士得,成立了一个风投基金,名为“Christie‘s Ventures”。它将聚焦于三个特定领域:Web3创新、与艺术相关的金融产品,以及“实现无缝艺术消费的解决方案和技术”。