火星链 火星链
Ctrl+D收藏火星链
首页 > BNB > 正文

ERT:CertiK首发:Web2.0旧疾难去,Premint NFT被盗事件分析-ODAILY

作者:

时间:1900/1/1 0:00:00

北京时间2022年7月17日,CertiK安全团队监测到知名NFT平台PremintNFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。

漏洞分析

黑客将恶意JavaScript代码上传至项目官网https://premint.xyz,恶意代码通过URL注入网站:https://s3-redwood-labs-premint-xyzcom/cdn.min.js?v=1658046560357,目前域名服务器不再存在,因此恶意文件不再可用。

去中心化数据库协议Ceramic添加对Solana的支持:金色财经报道,据官方推特消息,去中心化数据库协议Ceramic宣布添加了对Solana的支持。在Solana上构建的开发人员现在可以将Ceramic的主权数据网络用于跨链身份和动态数据。[2021/12/10 7:29:12]

该攻击导致用户在将他们的钱包连接到该网站时会被指示"全部批准",从而使得攻击者可访问钱包中的资产。

去中心化交易所CrownSwap通过Certik安全审计:据悉,去中心化交易所CrownSwap已经通过美国知名安全审计公司Certik代码审计,CrownSwap首创单边流动性提供机制,有着创新的经济激励模型和成熟的技术团队,在V2版本上线后,日交易额已经突破1700万美金。[2021/12/9 13:00:28]

链上分析

有六个外部拥有账户(EOAs)与此次攻击直接相关

0x28733...

0x0C979...

0x4eD07...

0x4499b...

0x99AeB...

0xAAb00...

DFI.Money(YFII)发起关于如何分配Balancer奖励提案:9月3日,聚合器项目DFI.Money(YFII)收到首批Balancer(BAL)奖励,共计BAL 679.83个,价值21,814美元。该奖励来源于YFII/DAI矿池,后续每周都将收到。关于奖励如何分配,社区发起提案进行投票:放进循环挖矿池;换成yCRV给投票人激励参与投票;注入社区基金。[2020/9/8]

根据CertiK的评估,此次攻击开始于北京时间7月17日下午03:25,即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。

上市公司Certon推出基于区块链的文件认证平台:上市公司Certon12月26号宣布 XBC Technologies PTE. Ltd.推广的基于区块链的文件认证平台‘‘ASTON’ 从投资组合上成功吸引100亿韩元的投资。XBC Technologies PTE. Ltd. 相关人员称与基于区块链的全球基金和资产运营平台的HybridBlock达成了战略性的合作。[2017/12/26]

一位用户声称2个GoblintownNFTs被盗

在OpenSea上搜索这两个NFT,可以看到它们是如何交易的。同样,也可以通过搜索找到窃取NFT的钱包——EOA0x0C979…

通过监测NFT的流动,我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式:大量资产流入,随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……,其也为0x28733……提供了资金。

重复上述检测,可以确认0x28733……也参与了黑客攻击。

一名受害者发帖称,他们的MoonbirdsOddities被盗

在Etherscan搜索用户名称,显示MoonbirdNFT被交易至EOA0x28733……

该地址的流动模式与EOA0x0C979…相同——大量资产流入,随后被迅速抛售。

这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT,

针对这次攻击,Premint的推特账户发布了一个警告:不要签署“全部批准”的交易,并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。

目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。

资产去向

272ETH(价值约37万美元)目前存储于:https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。

其余2.68ETH存储于:https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3

此次攻击事件的部分黑客交易尚在等待处理中。

写在最后

TheBoredApeYachtClubNFT(BAYC)网络钓鱼攻击事件及NFT艺术家Beeple的Twitter账户被盗事件已充分说明了Web2.0在中心化问题上的脆弱性。

为了避免这种情况的发生,Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证,并在每次交互后撤销特权。

标签:CERNFTCERTERT0xcertNFT2$价格certikSaverToken

BNB热门资讯
NFT:JZL Capital区块链行业周报第30期:V神解读以太坊最新蓝图-ODAILY

本周概览-V神在ETHCC5上宣布最新路线图,主要内容是什么?-特斯拉在其Q2财报符合预期的情况下抛售了75%的比特币,还有哪些科技巨头值得关注?一、行业动态上周加密市场触底反弹.

1900/1/1 0:00:00
GAME:GameFi陷入瓶颈后3A游戏会是出路吗?-ODAILY

DataSource:FootprintAnalytics3AGameDashboard无聊、跑的慢就血本无归——现在提到GameFi项目就会让用户联想到的两个感受.

1900/1/1 0:00:00
OIN:CoinW成为2022东亚杯官方合作伙伴,推进加密出圈-ODAILY

北京时间7月19日15时,伴随着韩国女足VS日本女足的开球,2022东亚杯正式打响,在未来9天共计12场的比赛中.

1900/1/1 0:00:00
COI:OKCoinJapan现已正式开启TRX Flash Deals活动-ODAILY

据官方消息,OKCoinJapan现已正式开启TRXFlashDeals活动,年利率高达188%.

1900/1/1 0:00:00
DAO:DAO规模化时,必要的「无聊」元素-ODAILY

原文作者:Samantha原文标题:It’stimeforDAOstogetalittlemoreboring DAO一直以来的代名词是自由、权利下放、无边界....似乎一切那么符合人性.

1900/1/1 0:00:00
ERO:Layerzero定义Omnichain互联互通新标准-ODAILY

互联互通是一直没被解决好的刚需在区块链中,如果把每一条区块链比喻成一个独立的账本,不同账本之间没有建立起互联互通,各个链上的数据和用户资产是处于相对独立的状态,单个的区块链就像一座座孤岛.

1900/1/1 0:00:00