链资讯 链资讯
Ctrl+D收藏链资讯

ROB:Premint 恶意代码注入攻击细节分析_aidoge币有没有前景

作者:

时间:

7?月?17日,据慢雾区情报反馈,Premint遭遇黑客攻击。慢雾安全团队在第一时间进行分析和预警。

本文来自慢雾区伙伴ScamSniffer的投稿,具体分析如下:

攻击细节

打开任意Premint项目页面,可以看到有个cdn.min.js注入到了页面中,看调用栈该js是由(https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js)注入,目前该s3-redwood-labs-premint-xyz.com域名已经停止解析,无法正常访问了。

Supremacy:Eden Network部署者地址私钥遭泄露,或由profanity漏洞导致:10月14日消息,据Supremacy安全团队监测,2022年10月14日 Eden Network的部署者地址在链上发起异常交易,部署者调用setMetadataManager将其元数据管理员权限转移到攻击者地址0x5C95123b1c8d9D8639197C81a829793B469A9f32,随后该地址利用此权限将EDEN币的名称和符号修改为\"EDEN Hack Inu\"和\"EDENHACK\",由于部署者地址对于EDEN token的admin权限早已转移,目前攻击暂未造成其他影响。[2022/10/15 14:28:12]

查询Whois,该域名在2022-07-16注册于TucowsDomainsInc:

砺算科技完成过亿元PreA轮融资,将发力元宇宙等应用:金色财经报道,10月9日,高性能图形GPU(图像处理器)公司砺算科技宣布完成过亿元PreA轮融资,君桐资本、活水资本、达泰资本、哲方资本共同领投。此外,公司近期还将启动新一轮融资。

本轮资金将用于高性能图形渲染GPU产品研发及相关商务拓展,完成兼容国际标准的图形GPU功能,以及针对元宇宙、数字孪生、云渲染、新能源车应用的定制开发。

砺算科技联合创始人孔德海表示,“数字孪生、元宇宙等数字世界都必须建立在高性能渲染GPU的基础之上。砺算高性能渲染GPU,将持续为从数字孪生、AR/VR、云游戏到未来元宇宙提供驱动力。”(新京报)[2022/10/9 12:50:19]

打开virustotal.com可以看到该域名之前曾解析到CloudFlare:

Web3梦幻体育游戏平台Gambit完成150万美元pre-seed轮融资:金色财经报道,Web3梦幻体育游戏平台Gambit宣布完成了一笔150万美元pre-seed轮融资,Web3 风险投资工作室 SuperLayer 领投。Gambit 融合了免费游戏和“边玩边赚”P2E两种游戏模式,尤其是在当前NBA季后赛和总决赛期间,吸引了2.3万名新用户,其主要受众群里来自于东南亚和印度市场。据悉,参与本轮融资的 SuperLayer 曾获得多个知名投资方支持,包括前超级碗 MVP Joe Montana 和风险投资公司 Andreessen Horowitz(a16z)。[2022/6/10 4:15:28]

打开源代码可以看到boomerang.min.js是Premint用到的一个UI库:

新加坡区块链初创公司Doxa完成220万美元Pre-A轮融资:4月19日消息,总部位于新加坡的区块链金融科技初创公司Doxa完成220万美元Pre-A轮融资。该公司表示,参投方包括上市公司和物流公司,但没有透露具体细节。新融资将用于其销售和营销工作、产品改进以及向东南亚扩张。

Doxa运营着由区块链技术支持的Doxa Connex,这是一个让建筑玩家和房地产开发商数字化处理采购、支付和融资的平台。通过自动化支付,该服务可以跟踪从报价邀请到付款和交货的整个采购过程。它还可以连接利益相关方在交易上进行实时云协作。(TechInAsia)[2022/4/19 14:33:21]

该js是在s3-redwood-labs.premint.xyz域名下,猜测:

上传文件接口有漏洞可以上传任意文件到任意Path

Nippon Express宣布与英特尔子公司合作 利用区块链建立可追踪物流:日本Nippon Express公司将与埃森哲和英特尔在日本的子公司合作,利用区块链建立一个可以实时跟踪的环境,以防止假冒药品流入运输网络。(jp.cointelegraph)[2020/3/9]

黑客拿到了他们这个AmazonS3的权限,从而可以注入恶意代码

这个第三方库被供应链攻击污染了

把boomerang.min.js代码下载下来,前面都是正常的代码,但是末尾有一段经过加密的代码:

这段代码负责把代码s3-redwood-labs-premint-xyz.com/cdn.min.js注入到页面。

恶意代码cdn.min.js

根据代码内容,可以大致看到有通过调用dappradar.com的接口来查询用户的NFT资产列表。

如果用户持有相关NFT资产:

恶意代码会以Two-stepwallet验证的借口,发起setApprovalForAll让用户授权给他们后端接口返回的地址。

如果用户点了Approve,攻击者还会调用监测代码通知自己有人点击了:

如果当用户地址没有NFT资产时,它还会尝试直接发起转移钱包里的ETH的资产请求:

另外这种代码变量名加密成_0xd289_0x开头的方式,我们曾经在play-otherside.org,thesaudisnfts.xyz这些钓鱼网站也见到过。

根据用户资产发起setApprovalForAll或者直接转移ETH,并且阻止用户使用开发者工具debug。

预防方式

那么作为普通用户如何预防?现阶段MetaMask对ERC721的setApprovalForAll的风险提示,远没有ERC20的Approve做得好。

即使很多新用户无法感知到这个行为的风险,但我们作为普通用户看到带Approve之类的交易一定要仔细打开授权给相关地址,看看这些地址最近的交易是否异常,避免误授权!

这种攻击和上次Etherscan上Coinzilla利用广告注入恶意的攻击方式挺相似的,那么在技术上有没有可能预防?

理论上如果已知一些恶意js代码的行为和特征:

比如说代码的加密方式

恶意代码关键特征

代码会反debug

会调用opensea,debank,dappradar等API查询用户资产

根据这些恶意代码的行为特征库,那么我们可以尝试在客户端网页发起交易前,检测页面有没有包含已知恶意特征的代码来探测风险,或者直接更简单一点,对常见的网站设立白名单机制,不是交易类网站发起授权,给到足够的风险提醒等。

接下来ScamSniffer和慢雾安全团队也会尝试探索一下如何在客户端来预防此类的攻击发生!

Ps.感谢作者ScamSniffer的精彩分析!

标签:ROBIDOETHTOKRobo Inu Financeaidoge币有没有前景ethereal代表什么意义法语Verify Token

比特币价格热门资讯
WEB:ETH2.0质押话语权争夺战:Rocket Pool 如何挑战 Lido?_小比特币

撰写:Marceau 编译:TechFlowinternRocketPool正在悄悄建立至少3个大规模的扩展解决方案,这将使它能够有~1000倍的增长,并将与Lido进行规模竞争.

WEB:在Web3的世界里 VC如何和项目团队共同建设?_SBLAND Vault (NFTX)

来源:老雅痞 Framework曾经在宣传内容写道:与硅谷的传统风险投资公司不同,如果人们与加密货币打过交道,那就很可能与我们打过交道.

LID:Lido能成功翻身吗?_IDO

本文转自公号:老雅痞 Kimming|作者? LidoDAO在过去七天的时间里,市值上涨大约200%,一下子成为市值排名100位的数字资产中最赚钱的加密货币。主要的利好是因为以太坊2.0的推出.

元宇宙:元宇宙行业专题报告:大厂陆续布局 推动行业发展_IDOO

1.元宇宙概况 1.1元宇宙:与现实平行的虚拟世界元宇宙最早由尼尔·斯蒂芬森在1992年出版的科幻小说《雪崩》中提出,作品中构建了一个与现实世界平行的虚拟世界——元宇宙.

Blox:2022年中国数字藏品行业洞察报告_BUX Token

2021年3月,Beeple的数字藏品作品以6,934万美元被拍卖,带动数字藏品行业被更多人知晓.

Blox:美联储重回量化宽松 加息与通胀背景下的另类声音_BUX

俄乌冲突、能源高涨、美联储加息、日本国债崩盘,不到1年时间,全球的宏观经济背景就发生了180度的大转变.