SPR:Premint 恶意代码注入攻击细节分析

7?月?17日，据慢雾区情报反馈，Premint遭遇黑客攻击。慢雾安全团队在第一时间进行分析和预警。

本文来自慢雾区伙伴ScamSniffer的投稿，具体分析如下：

攻击细节

打开任意Premint项目页面，可以看到有个cdn.min.js注入到了页面中，看调用栈该js是由(https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js)注入，目前该s3-redwood-labs-premint-xyz.com域名已经停止解析，无法正常访问了。

达拉斯牛仔队Dak Prescott与Blockchain.com签署代言协议:8月23日消息，NFL达拉斯牛仔队四分卫Dak Prescott与加密货币公司Blockchain.com签署一项多年的代言协议，具体财务条款未披露。作为协议的一部分，Dak Prescott将出现在电视、广播和社交媒体的广告中，并将在各种活动中亮相。（彭博社）[2022/8/23 12:43:59]

查询Whois，该域名在2022-07-16注册于TucowsDomainsInc：

打开virustotal.com可以看到该域名之前曾解析到CloudFlare：

加密资产管理公司Osprey Funds推出Osprey Polygon Trust:9月21日消息，加密资产管理公司Osprey Funds推出Osprey Polygon Trust。Osprey表示，这是美国第一个专门投资MATIC的基金产品。Osprey Polygon Trust目前可供合格投资者认购，最低投资额为10000美元。Osprey Funds计划尽快在OTCQX市场上线该产品，并在2023年1月之前免除所有投资者的管理费。Osprey的数字资产投资产品还包括Osprey Bitcoin Trust（OBTC）、Osprey Polkadot Trust、Osprey Algorand Trust和Osprey Solana Trust。（Businesswire）[2021/9/21 23:41:12]

打开源代码可以看到boomerang.min.js是Premint用到的一个UI库：

Lygon完成500万美元Pre-A轮融资:IBM、澳新银行、西太平洋银行、澳洲联邦银行以及购物中心运营商Scentre Group联合组建的区块链公司Lygon宣布完成500万美元Pre-A轮融资，Aura Ventures领投，这是该公司首个外部投资方。此外，Lygon员工参与认筹，澳新银行和联邦银行也行使了投资权。Lygon利用区块链和智能合约技术开创了完全数字化的银行担保服务，致力于将200年历史的纸质银行担保流程带入数字时代。该公司有望于今年晚些时候开展A轮融资。（AFR）[2021/8/13 1:52:33]

该js是在s3-redwood-labs.premint.xyz域名下，猜测：

上传文件接口有漏洞可以上传任意文件到任意Path

黑客拿到了他们这个AmazonS3的权限，从而可以注入恶意代码

这个第三方库被供应链攻击污染了

把boomerang.min.js代码下载下来，前面都是正常的代码，但是末尾有一段经过加密的代码：

Osprey Funds创始人：比特币ETF更有可能在2022年获得批准:Osprey Funds创始人兼首席执行官Greg King表示，计划在适当的时候将Osprey的比特币信托(OBTC) 转换为ETF。 比特币ETF更有可能在2022年获得批准。（CNBC）[2021/6/10 23:28:49]

这段代码负责把代码s3-redwood-labs-premint-xyz.com/cdn.min.js注入到页面。

恶意代码cdn.min.js

Coingate与Prestashop达成合作 预计增加8万家商户支持加密货币支付:总部位于维尔京的Coingate是为欧洲商户提供加密货币支付的网站，它正在与总部位于巴黎的Prestashop合作，Prestashop是一家开源电子商务解决方案提供商。这一组合意味着能够给加密货币爱好者提供更多的选择。两家公司预计将使得8万欧洲商家进入到加密货币支付的世界。[2018/3/27]

根据代码内容，可以大致看到有通过调用dappradar.com的接口来查询用户的NFT资产列表。

如果用户持有相关NFT资产：

恶意代码会以Two-stepwallet验证的借口，发起setApprovalForAll让用户授权给他们后端接口返回的地址。

如果用户点了Approve，攻击者还会调用监测代码通知自己有人点击了：

如果当用户地址没有NFT资产时，它还会尝试直接发起转移钱包里的ETH的资产请求：

另外这种代码变量名加密成_0xd289_0x开头的方式，我们曾经在play-otherside.org，thesaudisnfts.xyz这些钓鱼网站也见到过。

根据用户资产发起setApprovalForAll或者直接转移ETH，并且阻止用户使用开发者工具debug。

预防方式

那么作为普通用户如何预防？现阶段MetaMask对ERC721的setApprovalForAll的风险提示，远没有ERC20的Approve做得好。

即使很多新用户无法感知到这个行为的风险，但我们作为普通用户看到带Approve之类的交易一定要仔细打开授权给相关地址，看看这些地址最近的交易是否异常，避免误授权！

这种攻击和上次Etherscan上Coinzilla利用广告注入恶意的攻击方式挺相似的，那么在技术上有没有可能预防？

理论上如果已知一些恶意js代码的行为和特征：

比如说代码的加密方式

恶意代码关键特征

代码会反debug

会调用opensea,debank,dappradar等API查询用户资产

根据这些恶意代码的行为特征库，那么我们可以尝试在客户端网页发起交易前，检测页面有没有包含已知恶意特征的代码来探测风险，或者直接更简单一点，对常见的网站设立白名单机制，不是交易类网站发起授权，给到足够的风险提醒等。

接下来ScamSniffer和慢雾安全团队也会尝试探索一下如何在客户端来预防此类的攻击发生！

Ps.感谢作者ScamSniffer的精彩分析！

标签：PREREYSPRMINSwim Spread WisdomDELREY币sprk币怎么买郭家毅gemini资料

芝麻开门交易所热门资讯