北京时间2022年7月17日,CertiK安全团队监测到知名NFT平台PremintNFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。
漏洞分析
黑客将恶意JavaScript代码上传至项目官网https://premint.xyz,恶意代码通过URL注入网站:https://s3-redwood-labs-premint-xyzcom/cdn.min.js?v=1658046560357,目前域名服务器不再存在,因此恶意文件不再可用。
DeFi平台QUINT获Galaxy Racer 2500万美元投资:5月30日消息,DeFi平台QUINT获Galaxy Racer 2500万美元投资。据悉,Galaxy Racer专注于电子竞技、内容创作者、音乐和体育等领域,也是第一家向加密货币生态系统投入大量资金的电子竞技组织。Galaxy Racer将把QUINT整合到其网站的支付系统中,并探索如何在电子竞技比赛、活动和商品销售部门中使用Token。(雅虎财经)[2022/5/30 3:50:42]
Balancer计划为HAUS/WETH、COW/GNO、COW/WETH池添加veBAL流动性Gauge:4月9日消息,去中心化交易所Balancer发布三个社区提案投票,分别计划为HAUS/WETH、COW/GNO、COW/WETH 池添加 veBAL 流动性 Gauge,从而使得 Balancer 奖励可以分配到这些流动性池中。[2022/4/9 14:14:25]
该攻击导致用户在将他们的钱包连接到该网站时会被指示"全部批准",从而使得攻击者可访问钱包中的资产。
链上分析
有六个外部拥有账户(EOAs)与此次攻击直接相关
0x28733...
0x0C979...
Blin Metaverse将于9月6日开放首轮Certified Sale:据官方消息,Blin Metaverse分别与Bounce Finance、DAOStarter、ERAX达成战略合作。并将在UTC时间9月6日12:00(北京时间20:00)于这三家平台进行首轮Certified Sale。
据悉,Blin Metaverse是基于币安智能链BSC的元宇宙+NFTFi 基础设施。旨在通过 IP 重塑、虚拟社交、链上 NFT 资产铸造、确权、价值流通等方式实现多元化虚拟现实交互的综合性去中心化NFT基础设施。[2021/9/6 23:03:32]
0x4eD07...
0x4499b...
Balancer和Gnosis达成合作,将推出新DEX BGP:4月28日消息,Balancer和Gnosis达成合作,将推出新DEX Balancer-Gnosis Protocol(BGP)。[2021/4/28 21:08:41]
0x99AeB...
0xAAb00...
根据CertiK的评估,此次攻击开始于北京时间7月17日下午03:25,即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。
一位用户声称2个GoblintownNFTs被盗
在OpenSea上搜索这两个NFT,可以看到它们是如何交易的。同样,也可以通过搜索找到窃取NFT的钱包——EOA0x0C979…
通过监测NFT的流动,我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式:大量资产流入,随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……,其也为0x28733……提供了资金。
重复上述检测,可以确认0x28733……也参与了黑客攻击。
一名受害者发帖称,他们的MoonbirdsOddities被盗
在Etherscan搜索用户名称,显示MoonbirdNFT被交易至EOA0x28733……
该地址的流动模式与EOA0x0C979…相同——大量资产流入,随后被迅速抛售。
这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT,
针对这次攻击,Premint的推特账户发布了一个警告:不要签署“全部批准”的交易,并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。
目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。
资产去向
272ETH(价值约37万美元)目前存储于:https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。
其余2.68ETH存储于:https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3?
此次攻击事件的部分黑客交易尚在等待处理中。
写在最后
TheBoredApeYachtClubNFT(BAYC)网络钓鱼攻击事件及NFT艺术家Beeple的Twitter账户被盗事件已充分说明了Web2.0在中心化问题上的脆弱性。
为了避免这种情况的发生,Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证,并在每次交互后撤销特权。
2021年Vitalik曾在一篇文章中讲:Perhapsthemostpowerfulcryptographictechnologytocomeoutofthelastdecadeisgener.
北京首例比特币“挖矿”合同案二审已经宣判,二审法院北京市第三中级人民法院明确认定涉案“挖矿”合同无效.
原文作者:@thedefiedge原文编译:FYJ,BlockBeats内容原载自推特账号@thedefiedge,探讨交易过程中的认知模型,由BlockBeats编译成文.
撰文:jb0x 本篇文章包含了颇具价值的见解,尤其对于无政府资本主义理想者,那些用宏观经济来设计协议的这群人,或者那些在我们热爱的互联网上用钱包投票来减轻对机构资本主义控制的那些人.
原文作者:DeanTakahashi,由DeFi之道翻译编辑。阿里安娜?辛普森是AndreessenHorowitz的普通合伙人,A16z是投资科技、游戏和加密领域的顶级风险投资公司之一.
上海市政府官宣支持NFT交易平台建设,又一次将NFT推到投资视野的最前线。2022年7月12日,上海市人民政府办公厅印发《上海市数字经济发展「十四五」规划》,明确提出「支持龙头企业探索NFT交易.
链资讯