北京时间2022年7月17日,CertiK安全团队监测到知名NFT平台PremintNFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。
漏洞分析
黑客将恶意JavaScript代码上传至项目官网https://premint.xyz,恶意代码通过URL注入网站:https://s3-redwood-labs-premint-xyzcom/cdn.min.js?v=1658046560357,目前域名服务器不再存在,因此恶意文件不再可用。
该攻击导致用户在将他们的钱包连接到该网站时会被指示"全部批准",从而使得攻击者可访问钱包中的资产。
去中心化交易协议Balancer拟于3月发布V2版 目前正在进行内部审计:去中心化交易协议Balancer(BAL)宣布计划于今年3月份发布BalancerV2版本,目前正在进行内部审计。BalancerV2的升级内容或功能主要包括机池(Vault)将适用于所有Balancer池添加的所有资产、提升Gas效率、提高资本效率、较低的Gas成本和富有弹性的预言机、由社区管理的协议费用以及无需许可、可自定义的AMM逻辑等。其中,协议费用包括交易费用、资产撤回费用以及短期贷款费用,将由治理决定。[2021/2/3 18:45:39]
链上分析
区块链安全公司CertiK发布去中心化安全预言机:区块链安全公司CertiK(CTK)发布基于CertiK链的去中心化安全预言机,旨在有效减少链上交易与实时安全检测之间的距离,致力于运用去中心化的方法来解决安全难点。CertiK安全预言机可以应用于任何支持智能合约功能的区块链平台(如以太坊)。CertiK链在其业务区块链上部署了安全预言机的公共入口,以接收来自DeFi应用程序的安全查询,为即将进行的交易提供信息。用户可以轻松访问安全预言机、查询即将进行的交易,并获得实时的安全情报。另外,CertiK提出的解决方案都将使用CertiK链上的原生代币CTK来维护预言机网络的正常运转。[2020/9/8]
有六个外部拥有账户(EOAs)与此次攻击直接相关
声音 | Spencer Bogar:加入比特币的机构只会越来越强大:据ccn消息,加密货币风险投资公司区块链capital合伙人斯宾塞?鲍嘉(Spencer Bogart)表示,加入比特币的机构只会越来越强大。
尽管比特币市场的估值自今年1月达到8160亿美元以来已经下跌了85%,但纳斯达克(Nasdaq)、富达(Fidelity)、纽约证交所(NYSE)、Bakkt和一些大型金融机构的正逐渐进入这个领域,因而这家风险投资机构表示,支撑比特币的基础设施正在迅速加强。[2018/12/21]
0x28733...
0x0C979...
0x4eD07...
0x4499b...
0x99AeB...
0xAAb00...
根据CertiK的评估,此次攻击开始于北京时间7月17日下午03:25,即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。
一位用户声称2个GoblintownNFTs被盗
在OpenSea上搜索这两个NFT,可以看到它们是如何交易的。同样,也可以通过搜索找到窃取NFT的钱包——EOA0x0C979…
通过监测NFT的流动,我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式:大量资产流入,随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……,其也为0x28733……提供了资金。
重复上述检测,可以确认0x28733……也参与了黑客攻击。
一名受害者发帖称,他们的MoonbirdsOddities被盗
在Etherscan搜索用户名称,显示MoonbirdNFT被交易至EOA0x28733……
该地址的流动模式与EOA0x0C979…相同——大量资产流入,随后被迅速抛售。
这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT,
针对这次攻击,Premint的推特账户发布了一个警告:不要签署“全部批准”的交易,并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。
目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。
资产去向
272ETH(价值约37万美元)目前存储于:https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。
其余2.68ETH存储于:https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3?
此次攻击事件的部分黑客交易尚在等待处理中。
写在最后
TheBoredApeYachtClubNFT(BAYC)网络钓鱼攻击事件及NFT艺术家Beeple的Twitter账户被盗事件已充分说明了Web2.0在中心化问题上的脆弱性。
为了避免这种情况的发生,Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证,并在每次交互后撤销特权。
尊敬的XT.COM用戶:應項目方要求,XT.COM現已關閉ARTEX充值並關閉ARTEX/USDT交易對。ARTEX提現現已開啟並將於2022年9月19日08:00關閉其提現.
在过去十年中,金融科技一直是传统金融服务公司运营方式创新的主要驱动力。它打乱了从支付处理到预测和预算方方面面的常规秩序,催生了我们今天所熟知的金融科技领域的庞然大物,例如:Stripe、Deel.
親愛的ZT用戶: ZT創新板即將上線</article><divclass="news_detail_footer-qjnu"><divclass="detail_top-qjnu"&.
我们大部分人投资的目的是为了赚钱,肯定不会有人希望花了一笔钱投资,最后不但没有拿回期望报酬,甚至连本金都赔掉。看完本篇文章相信会让我们减少一些投资的致命错误,并学会判断CP值最高的投资标的.
金色财经消息,在致美国国家环境保护局和能源部的一封信中,由加州民主党众议员JaredHuffman和马萨诸塞州民主党参议员ElizabethWarren领导的一个小型国会团体寻求这两个机构要求加.
UTC时间2022年7月14日下午13:00英属维尔京群岛罗德城电讯数字代币交易平台Bitfinex今天宣布,它将捐赠36个比特币和60万USDt,来帮助萨尔瓦多的小企业和社区.