NCE:CertiK首发：Web2.0旧疾难去Premint NFT被盗事件分析

北京时间2022年7月17日，CertiK安全团队监测到知名NFT平台PremintNFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。

漏洞分析

黑客将恶意JavaScript代码上传至项目官网https://premint.xyz，恶意代码通过URL注入网站：https://s3-redwood-labs-premint-xyzcom/cdn.min.js?v=1658046560357，目前域名服务器不再存在，因此恶意文件不再可用。

CertiK：Poly Network攻击者已将部分ETH转至EOA地址:金色财经报道，据CertiK官方推特发布消息称，Poly Network攻击者已将约566.4枚ETH转至EOA地址（0x712）。1007.4枚ETH也被转入EOA地址（0xcC2bb）。[2023/7/10 10:12:53]

Balancer 社区发起提案激活v2协议费用，目前获98%支持率:12月10日消息，Balancer 社区现已在Snapshot发起提案激活v2协议费用，具体费用可以设置在矿池费用的 0-50% 之间。在初始阶段，协议费用将累积在金库中，此后可用于创建 DAO 金库指数基金、回购 BAL 等用途。目前，该提案已经获得98%的支持率，并将在UTC时间12月12日上午6时结束。[2021/12/10 7:30:32]

该攻击导致用户在将他们的钱包连接到该网站时会被指示"全部批准"，从而使得攻击者可访问钱包中的资产。

链上分析

有六个外部拥有账户(EOAs)与此次攻击直接相关

0x28733...

0x0C979...

0x4eD07...

0x4499b...

DeFi Wizard（DWZ）将于3月1日14时在Bounce Certified上开启代币销售:据官方消息，DeFi智能合约构建平台DeFi Wizard（DWZ）将于3月1日14时在Bounce Certified上开启代币销售，共提供20000 DWZ。代币合约地址为：0x7dee45dff03ec7137979586ca20a2f4917bac9fa。

此前消息，DeFi Wizard宣布完成75万美元融资，投资方包括X21 Digital、AU21 Capital、TRG Capital、DeltaHub Capital、NGC Ventures和ExNetwork。根据官方描述，DeFi Wizard是一个仪表板，单击几下即可构建关于ERC20、BEP20、EDST的DeFi智能合约、抵押合约、流动性挖矿合约等，并提供实时分析。[2021/3/1 18:03:00]

0x99AeB...

Balancer获得由三箭资本和DeFiance Capital牵头的500万美元投资:2月11日消息，DeFi项目方Balancer Labs宣布已获得由三箭资本(Three Arrows Capital)和DeFiance Capital牵头的一轮500万美元投资。两家风险投资公司现已加入Pantera Capital和Alameda Research进行投资，使Balancer的A轮融资总额达到1200万美元。（Cointelegraph）[2021/2/11 19:28:51]

0xAAb00...

根据CertiK的评估，此次攻击开始于北京时间7月17日下午03:25，即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。

动态 | NBA球员Spencer Dinwiddie表示将于1月13日启动其代币投资平台:据Decrypt消息，NBA球员Spencer Dinwiddie本周表示，尽管NBA威胁禁止他进入职业篮球联盟，但他的代币投资平台将于1月13日启动。据悉，联盟仍在审核Dinwiddie的修订提案，这意味着该平台不能保证在1月13日启用。此前消息，Dinwiddie于2019年10月宣布计划推出区块链投资平台DREAM Fan Shares，出售90种名为SD8 coins的代币，代币持有者将在未来三年内以4.95%的基本利率每月收到还款。但NBA对这一提议并不感兴奋，称这种平台违反NBA球员的集体谈判协议。[2020/1/11]

一位用户声称2个GoblintownNFTs被盗

在OpenSea上搜索这两个NFT，可以看到它们是如何交易的。同样，也可以通过搜索找到窃取NFT的钱包——EOA0x0C979…

通过监测NFT的流动，我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式：大量资产流入，随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……，其也为0x28733……提供了资金。

重复上述检测，可以确认0x28733……也参与了黑客攻击。

一名受害者发帖称，他们的MoonbirdsOddities被盗

在Etherscan搜索用户名称，显示MoonbirdNFT被交易至EOA0x28733……

该地址的流动模式与EOA0x0C979…相同——大量资产流入，随后被迅速抛售。

这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT，

针对这次攻击，Premint的推特账户发布了一个警告：不要签署“全部批准”的交易，并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。

目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。

资产去向

272ETH(价值约37万美元)目前存储于：https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。

其余2.68ETH存储于：https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3?

此次攻击事件的部分黑客交易尚在等待处理中。

写在最后

TheBoredApeYachtClubNFT(BAYC)网络钓鱼攻击事件及NFT艺术家Beeple的Twitter账户被盗事件已充分说明了Web2.0在中心化问题上的脆弱性。

为了避免这种情况的发生，Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证，并在每次交互后撤销特权。

标签：CERNCENFTDEFLibreFreelencerComposable FinanceWorldNFTDives Defi

非小号热门资讯