宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > OKB > 正文

PREMINT攻击事件全解析

作者:

时间:1900/1/1 0:00:00

作者:Go+Security?

7月17日16:00(UTC+8),premint.xyz遭遇黑客攻击,部分用户的NFT失窃。攻击事件发生后,GoPlus安全分析师迅速对其进行了全面解析,并从普通投资者和开发者两个角度给出了安全建议。

攻击过程

攻击者通过在premint.xyz网站中通过植入恶意的JS脚本进行攻击,当用户进行常规操作时,执行恶意代码,用户对授权操作setApprovalForAll(address,bool)的交易进行签名。取到授权后,盗取用户的NFT等资产。

攻击原理

当用户访问https://www.premint.xyz/时,网站将加载如下js资源文件https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js。

虚拟人公司“慧夜科技”完成数千万元Pre A+轮融资,高瓴创投领投:10月10日消息,虚拟人公司“慧夜科技”完成数千万元Pre A+轮融资,高瓴创投领投,顺为资本跟投。本轮资金将被用以继续完善产品、降低虚拟内容的制作门槛、扩张团队以及发展更多客户。

慧夜科技是一家虚拟?命AI驱动技术的服务商,打造出一套?成式深度神经?络框架,虚拟角色在其基础上学习人类的运动模式。在不需要真人动捕的前提下,在系统中输入一段音乐,虚拟角色会根据旋律自动起舞。创始人渠思源将它称之为赋予虚拟人交互和表演能力的解决方案。

据悉,今年1月,慧夜科技曾完成顺为资本独家投资的PreA轮融资。更早前,该公司曾完成天使轮融资,青山资本领投。(36kr)[2022/10/10 12:51:45]

此文件被黑客注入了一个script脚本,该脚本加载了另一个托管在属于黑客的假域名中的攻击脚本文件https://s3-redwood-labs-premint-xyz.com/cdn.min.js?v=1658050292559。此脚本含有取用户授权的交互。

NFT金融服务协议Cyan宣布获得Animoca Brands 10万美元的pre-seed轮融资:3月23日消息,NFT金融服务协议Cyan宣布获得Animoca Brands 10万美元的pre-seed轮融资,资金将用于帮助Cyan启动其BNPL(先买后付)服务协议。

据悉,Cyan主推“先买后付”服务,是第一个为用户购买NFT提供融资服务的协议。用户可以选择分期购买NFT、抵押NFT获取收益等功能。例如用户可以在三个月内分四期购买BlueChipNFT,后期功能将扩展到更长的期限、更多资产类别。[2022/3/23 14:13:12]

当用户进行常规的Verifyingyourwalletonwership签名操作时,此脚本将被触发,将原有的验证签名代替为一笔授权攻击者可转移用户高价值NFT的交易。一旦次交易被签,资产将会失窃。

DeFi新闻媒体平台The Defiant完成140万美元Pre-Seed轮融资,将构建Web3金融信息平台:海外加密媒体The Defiant背后的公司Defiant Media Inc.宣布完成140万美元Pre-seed轮融资,投资者包括IDEO CoLab Ventures、ParaFi Capital、IOSG Ventures、Blockchange Ventures、Axia8 Ventures、Defiance Capital、Youbi Capital、MetaCartel Ventures、Nima Capital、GBV Capital、Kenetic Capital、Mechanism Capital、Cluster Capital、Serotonin、FreeCo、Morningstar Ventures、Anthony Pompliano、Mariano Conti、Kendall Saville、Clara Bullrich、Will Price、Peter Pan、Andrew Keys、David Nage、Garrett MacDonald和Wong Joon Ian,顾问包括Cooper Turley和DeFi Dad。[2021/4/13 20:13:34]

防不胜防

金色晨讯 | ICE主席Jeff Sprecher:预计Bakkt在今年晚些时候推出:1.?ICE主席Jeff Sprecher:预计Bakkt在今年晚些时候推出

2.Joseph Young:监管的不透明阻碍了加密技术的迅速发展

3.BlockTower Capital联合创始人Ari Paul:比特币不太可能被快速、功能丰富的加密资产取代

4.眼镜蛇Cobra:社交媒体上经常发声的人不会威胁到比特币

5.以色列加密货币企业家辩护称投资者对投资公司没有所有权

6.石墨烯协议位列十大区块链协议首位 Ethereum排第二

7.委内瑞拉2018年P2P比特币交易超过加拿大和印度

8.Bakkt收购Rosenthal Collins集团

9. Google Play发现一款窃取用户加密货币的恶意应用程序[2019/2/10]

本次攻击对于普通用户来说,可能是最不好对付、最容易中招的。

声音 | 律师Preston Byrne:以太坊生态系统中存在集中化问题:近期,在以太坊推迟君士坦丁堡硬分叉的情况下,Byrne&Storm律师事务所合伙人Preston Byrne谈及他对ETH的看法。Byrne首先指出,虽然他不能得出以ETH是集中化的最终结论,但有一些危险信号指向该生态系统中存在的集中化问题。Byrne列出了四点以表明“ETH是集中的”,分别是:1.ETH创始人十分可疑,他引起人们对财富集中化的关注,而持币者们甚至有能力使ETH崩溃;2.以太坊节点强调集中化,集中式服务提供商,特别是ConsenSys支持的Infura,对节点基础设施造成了巨大影响;3.由于Geth和Parity目前在生态系统中占主导地位,因此缺乏以太坊客户;4.在君士坦丁堡硬分叉推迟一事上,以太坊核心开发者有权在片刻的时间内做出如此重大的决策变化,这一事实值得怀疑。[2019/1/20]

攻击的全部C端交互都在Premint的官方网站中,首先就很容易让大家放松警惕,因为大家总是默认官方网站是没有任何问题的。

取交易签名的过程发生在正常操作的签名验证过程中,由于多数用户不会去看钱包的签名详情,所以攻击过程极为隐蔽。

漏洞在哪里

大家可能会奇怪,为什么Premint的官方网站还会出现攻击代码,这是因为托管的S3上的js资源文件被黑客侵入遭到篡改。

至于为什么会被入侵,根据现有的资料,我们怀疑是S3配置出现错误,导致了Bucket未授权访问,使得攻击者可以随意列出、读取或者写入S3bucket,从而对js资源文件进行篡改。

整个过程中最为令人不解的是,黑客的攻击行为在17日16:00(UTC+8)就被发现,但直到17日22:00(UTC+8)之前,Premint官方依然没有对被攻击的js文件进行归正,boomerang.min.js文件中仍然包含被黑客注入的恶意script,页面载入时仍然会去加载黑客的攻击脚本文件,只是这段恶意script本身已经无法访问了。这种状态维持了6个小时,很难判断如果此时该脚本复活,会不会引发更大的损失。

启示

启示1:作为普通投资者我们该怎么办?如果官网都不可靠了,如何避免上当受?

本次攻击对于很多不了解技术的用户来说,基本可以说是“初见杀”,百分百中招,毕竟谁也不会无端怀疑官网有诈。但仔细想想,所有链上的交易都必须通过钱包的签名,所以只要注意签名内容还是可以识别出其中风险的。

很多区块链用户都有个非常不好的习惯,只要操作进入到钱包中,除了调gas的过程,其他步骤都是下意识操作。实际上签名前的确认信息包含着大量关键内容,GoPlusSecurity建议大家进行任何签名操作前都必须仔细确认。

以此次攻击为例。当用户对Premint进行签名验证时,由于只是进行信息验证,没有任何上链的必要,所以发起的SignatureRequest应只包含Origin信息,用户的地址,Nounce信息,可能有一些附加返回信息。如下图:

但对于被注入攻击后遭到篡改的交易签名,由于须要将交易上链,交易将会以合约调用的形式呈现出更多的信息。例如在一个使用setApprovalForAll的NFT授权中,会显示出这笔交易是在哪进行的,调用了什么方法,授权对象是谁,消耗多少ETH。

回过头来,我们根据网友贡献的截图可见,Permint被注入攻击后,虽然操作提示的是验证签名,但是实际拉钱包签名的交易完全是上链的setApprovalForAll,完全与上图相符,稍加观察就能知道此处是有问题的。

实际上,合约各类调用、转ETH、转Token等,在钱包中签名信息都是不同的,所有投资者都应该了解其中的差异,以免遭到此类攻击时产生损失。在此GoPlusSecurity非常建议大家再亲自模拟一下操作过程,了解各种不同的签名信息,一旦学会看签名信息,你将基本上规避掉几乎所有钓鱼、注入、欺诈攻击。

不要懒惰,想要保证自己的安全,学习是唯一的途径。

启示2:作为开发者我们该怎么办?如何避免被注入攻击?

此次攻击对于开发者最大的启示在于,web3.0世界既然无法脱离web2.0独立存在,那就必然会承受和web2.0一样的攻击方式。仅仅在合约层面保障自己的安全是不够的,所有传统的安全准备一样都不能落下,任何一个小的疏忽都可能造成重大损失。

另外,遇到此类问题后应马上修复或者隔离,倘若存在侥幸心理,没有第一时间处理风险源,被安全分析师扒皮嘲讽是小事;万一攻击手段还可用,损失可是会持续产生的,这可是大事。

标签:PREMININTMINTPRESALEminidoge币还能买吗int币下架了alchemint-standards

OKB热门资讯
第 4 章:以太坊钱包

钱包是连接区块链网络的用户友好接口。钱包管理着你的私钥,而私钥是你加密货币保险库锁的钥匙。钱包让你能够接收、存储和发送加密货币。 托管vs非托管 钱包有托管和非托管两种类型。托管钱包指的是第三方代表用户控制加密货币的钱包.

1900/1/1 0:00:00
晚报 | Stepn 再度遭到 DDos 攻击;Binance Labs 宣布战略投资 PancakeSwap

整理:麟奇,链捕手 “过去24小时都发生了哪些重要事件”?1、Stepn再度遭到DDos攻击,建议用户在维护期间休息M2E应用Stepn昨夜发推表示再度遭到DDos攻击,保护服务器和恢复可能需要1到12个小时.

1900/1/1 0:00:00
50 个项目 7 大板块,速览 Gitcoin 捐赠 Web3 社交生态轮

作者:MaskNetwork开源软件和社区捐助平台Gitcoin已启动第14轮捐助活动,活动时间从6月8日至23日,用户可以通过该平台为优秀的开源软件团队进行资助.

1900/1/1 0:00:00
8 Blocks Capital 交易主管:三箭资本挪用了该机构约 100 万美元用于追加保证金

链捕手消息,8BlocksCapital交易主管Danny发推表示,从2020年11月起与三箭资本签订协议,向该机构支付费用以使用他们的交易账户,目的是降低交易费率,同时约定可以随时退出账户,三箭资本绝不会在未经许可的情况下转移资金.

1900/1/1 0:00:00
详解社交代币模型:如何利用粉丝经济捕获价值

原标题:《SocialTokens:TheEconomyofYou》原作者:MarioGabriele,readthegeneralist 编译:老雅痞 可操作的见解: 如果你只有几分钟的时间.

1900/1/1 0:00:00
Web3 的支柱:纵览去中心化存储生态图景

撰文:0xPhillan、Fundamentallabs翻译:Tia,ForesightNews如果我们想在去中心化互联网更进一步,最终将需要这三大支柱:共识、存储以及计算.

1900/1/1 0:00:00