Premint 恶意代码注入攻击细节分析

7?月?17日，据慢雾区情报反馈，Premint遭遇黑客攻击。慢雾安全团队在第一时间进行分析和预警。

本文来自慢雾区伙伴ScamSniffer的投稿，具体分析如下：

攻击细节

打开任意Premint项目页面，可以看到有个cdn.min.js注入到了页面中，看调用栈该js是由(https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js)注入，目前该s3-redwood-labs-premint-xyz.com域名已经停止解析，无法正常访问了。

NFT碳信用额远期融资市场GreenTrade完成百万欧元pre-seed轮融资:8月30日消息，据外媒报道，总部位于柏林的 NFT 碳信用额远期融资市场 GreenTrade 宣布完成“7 位数”pre-seed 轮融资（具体金额暂未披露），本轮融资由 Web3 风险投资公司 Cerulean 领投，Draft Ventures、Allegory 和 Flori Ventures 以及 Tom O'Keefe 和 Sundeep Ahuja 等天使投资人参投。

GreenTrade 由 Katrin Klingenberg、Ulf Hackbarth、Carsten Hermann 和 Frederick Leuschner 创立，该公司通过与项目开发商签订长期承购协议并将这些合同转化为可交易的 NFT 数字资产来加速新碳项目融资，这些 NFT 可供企业买家使用，同时也能让碳信用领域里的开发人员更高效地获得资金支持。（tech.eu ）[2022/8/30 12:58:00]

查询Whois，该域名在2022-07-16注册于TucowsDomainsInc：

Stablecorp完成150万美元Pre-A轮融资 参投方包括Circle Ventures:金色财经消息，加拿大金融科技公司Stablecorp完成150万美元Pre-A轮融资，参投方包括Circle Ventures、Genesis、Stellar Development Foundation、SideDoor Ventures、3iQ、Borderless等参投。本轮融资将用于推出VCAD来结合传统金融与链上金融框架。VCAD是使用Versa Bank的Versa Vault技术发行的数字存款票据，以加元存款1:1支持。（prnewswire.com）[2022/4/25 14:48:01]

打开virustotal.com可以看到该域名之前曾解析到CloudFlare：

打开源代码可以看到boomerang.min.js是Premint用到的一个UI库：

Osprey Funds CEO称美国最早将在2022年批准比特币ETF:7月19日，比特币信托发行商Osprey Funds的首席执行官Greg King在接受雅虎财经的采访时表示，他认为Gary Gensler领导下的美国证券交易委员会（SEC）在2021年有很多事情要做，BTC ETF的批准不太可能实现。（Cointelegraph）[2021/7/20 1:05:34]

该js是在s3-redwood-labs.premint.xyz域名下，猜测：

上传文件接口有漏洞可以上传任意文件到任意Path

黑客拿到了他们这个AmazonS3的权限，从而可以注入恶意代码

这个第三方库被供应链攻击污染了

把boomerang.min.js代码下载下来，前面都是正常的代码，但是末尾有一段经过加密的代码：

这段代码负责把代码s3-redwood-labs-premint-xyz.com/cdn.min.js注入到页面。

FTX平台Coinbase Pre-IPO合约交易首日上涨约140%:金色财经报道，数据显示，FTX平台Coinbase Pre-IPO合约价格在上市首日最高涨至295美元以上，较125美元的上市价格上涨了约140%。在上市仅约12个小时后，该合约交易量就超过220万美元，使其成为FTX上最大的代币化股票市场。而FTX上第二大代币化股票市场Moderna(MRNA)的交易量仅为80万美元。Coinbase合约已经收回了部分涨幅，目前价格已跌至235美元左右，较初始上市价格上涨约95%。[2020/12/22 16:10:04]

恶意代码cdn.min.js

BlitzPredict推出区块链体育应用预测世界杯比赛结果:在俄罗斯世界杯开赛几天后，BlitzPredict推出了一个能够帮助体育迷们获得“可靠且透明”的投注建议的区块链体育应用程序。[2018/6/20]

根据代码内容，可以大致看到有通过调用dappradar.com的接口来查询用户的NFT资产列表。

如果用户持有相关NFT资产：

恶意代码会以Two-stepwallet验证的借口，发起setApprovalForAll让用户授权给他们后端接口返回的地址。

如果用户点了Approve，攻击者还会调用监测代码通知自己有人点击了：

如果当用户地址没有NFT资产时，它还会尝试直接发起转移钱包里的ETH的资产请求：

另外这种代码变量名加密成_0xd289_0x开头的方式，我们曾经在play-otherside.org，thesaudisnfts.xyz这些钓鱼网站也见到过。

根据用户资产发起setApprovalForAll或者直接转移ETH，并且阻止用户使用开发者工具debug。

预防方式

那么作为普通用户如何预防？现阶段MetaMask对ERC721的setApprovalForAll的风险提示，远没有ERC20的Approve做得好。

即使很多新用户无法感知到这个行为的风险，但我们作为普通用户看到带Approve之类的交易一定要仔细打开授权给相关地址，看看这些地址最近的交易是否异常，避免误授权！

这种攻击和上次Etherscan上Coinzilla利用广告注入恶意的攻击方式挺相似的，那么在技术上有没有可能预防？

理论上如果已知一些恶意js代码的行为和特征：

比如说代码的加密方式

恶意代码关键特征

代码会反debug

会调用opensea,debank,dappradar等API查询用户资产

根据这些恶意代码的行为特征库，那么我们可以尝试在客户端网页发起交易前，检测页面有没有包含已知恶意特征的代码来探测风险，或者直接更简单一点，对常见的网站设立白名单机制，不是交易类网站发起授权，给到足够的风险提醒等。

接下来ScamSniffer和慢雾安全团队也会尝试探索一下如何在客户端来预防此类的攻击发生！

Ps.感谢作者ScamSniffer的精彩分析！

标签：PREMINENTINTPRESIDENTDOGEHotmine Tokenentc币价FingerprintsDAO

世界币热门资讯