北京时间2022年7月17日,CertiK安全团队监测到知名NFT平台Premint NFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。
漏洞分析
黑客将恶意JavaScript代码上传至项目官网https://premint.xyz,恶意代码通过URL注入网站:https://s3-redwood-labs-premint-xyz[.]com/cdn.min.js?v=1658046560357,目前域名服务器不再存在,因此恶意文件不再可用。
CertiK:franklinisbored推特账号遭入侵并发布了钓鱼链接:金色财经消息,据CertiK监测,/img/202281310350/2.jpg" />
该攻击导致用户在将他们的钱包连接到该网站时会被指示 "全部批准(set approvals for all)",从而使得攻击者可访问钱包中的资产。
链上分析
有六个外部拥有账户 (EOAs)与此次攻击直接相关
0x28733...
Larry Cermak:Paradigm的UNI投资市值或超30亿美元:The Block 分析师 Larry Cermak 发推称:Paradigm的UNI投资市值现在可能超过30亿美元。此前他发推称:如果UNI价格达到11美元,Paradigm不到500万美元的投资就将价值10亿美元。2019年4月Uniswap完成种子轮融资,Paradigm领投。[2021/3/23 19:09:36]
0x0C979...
0x4eD07...
0x4499b...
0x99AeB...
0xAAb00...
根据CertiK的评估,此次攻击开始于北京时间7月17日下午03:25,即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。
Larry Cermak:不在相信币安,币安根据其定义拥堵的新规则任意暂停ETH/ERC20取款:TheBlock研究总监LarryCermak在推特中转发币安暂停ETH冲提的推文,Larry Cermak称,我一直在等待合适的推动力,但最后还是把我在Binance上的大部分资金撤到了FTX。在这一点上,不能再相信这家公司了,他们在用这些垃圾在自己的脚下疯狂射击。币安根据其定义拥堵的新规则任意暂停ETH / ERC20取款。早晨,gas费大约是130,现在是190。绝对是胡扯。[2021/2/20 17:32:41]
一位用户声称2个Goblintown NFTs被盗
独家 | Balancer流动性池数量已超过1200个:金色财经报道,据DappBirds DeFi Data专题数据显示,Balancer流动性池数量已超过1200个,DeFi中锁定资产总价值达52.86亿美元,较昨日上涨2.88%,其中Maker,Compound,Synthetix,Aave,InstaDApp分别以13.80亿美元,8.19亿美元,6.41亿美元,4.79亿美元,3.14亿美元位列前五名。[2020/8/6]
在OpenSea上搜索这两个NFT,可以看到它们是如何交易的。同样,也可以通过搜索找到窃取NFT的钱包——EOA 0x0C979…
通过监测NFT的流动,我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式:大量资产流入,随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……,其也为0x28733……提供了资金。
重复上述检测,可以确认0x28733……也参与了黑客攻击。
一名受害者发帖称,他们的Moonbirds Oddities被盗
在Etherscan搜索用户名称,显示Moonbird NFT被交易至EOA 0x28733……
该地址的流动模式与EOA 0x0C979…相同——大量资产流入,随后被迅速抛售。
这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT(价值约37.5万美元),
针对这次攻击,Premint的推特账户发布了一个警告:不要签署“全部批准(set approvals for all)”的交易,并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。
目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。
资产去向
272 ETH (价值约37万美元) 目前存储于:https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。
其余2.68 ETH(价值约3636美元)存储于:https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3?
此次攻击事件的部分黑客交易尚在等待处理中。
写在最后
The Bored Ape Yacht Club NFT (BAYC) 网络钓鱼攻击事件(损失约31.9万美元)及NFT艺术家 Beeple的Twitter账户被盗事件(导致其粉丝损失了价值约43.8万美元的NFT和加密货币)已充分说明了Web2.0在中心化问题上的脆弱性。
为了避免这种情况的发生,Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证,并在每次交互后撤销特权。
数字藏品是当下最火爆的区块链技术应用场景之一,产业的野蛮生长也蕴藏诸多隐患。本文以数字藏品的版权保护为切入点,讨论基于主子链架构的数字藏品合规发行解决方案 ,以期为数字藏品产业的良性发展提供一些.
1900/1/1 0:00:00原文作者:Derek Lau,由 DeFi 之道翻译编辑。区块链游戏格局正在发生变化。整体宏观和行业状况、进入该领域的投资和人力资本以及游戏模式的“元”(meta)可能会导致转变.
1900/1/1 0:00:00作者:Cesare Fracassi我们应该如何评估最近加密货币价格的高点和低点?从市场效率的角度来看,加密货币价格反映了市场对数字资产未来前景的评估.
1900/1/1 0:00:00近期,遭遇黑客攻击后的数字藏品平台光艺数藏悄悄“复活”,引发业界关注。复出后,该平台上的数字藏品持续暴涨,大部分涨幅均超过百倍,少数藏品甚至超过了千倍。事出反常必有妖.
1900/1/1 0:00:00SocialFi浪潮有些类似海市蜃楼,有着美好的图景却缺乏坚实的用户基础。从古早的Steemit自建社交公链、到Rally发布社交代币、再到去年大火的Monaco发售NFT,Web3社交产品的努.
1900/1/1 0:00:00原文标题:《盘点华尔街银行巨头们布局的 12 家加密初创公司》撰文:Carter Johnson 和 Bianca Chan编译:PANews 尽管当下加密市场正在经历史上最严酷的「寒冬」.
1900/1/1 0:00:00