CertiK首发：Web2.0旧疾难去Premint NFT被盗事件分析

北京时间2022年7月17日，CertiK安全团队监测到知名NFT平台PremintNFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。

漏洞分析

黑客将恶意JavaScript代码上传至项目官网https://premint.xyz，恶意代码通过URL注入网站：https://s3-redwood-labs-premint-xyzcom/cdn.min.js?v=1658046560357，目前域名服务器不再存在，因此恶意文件不再可用。

Pinnako社区指责iZUMi Finance抛售其代币:7月19日消息，加密衍生品交易平台Pinnako社区用户指责iZUMi Finance抛售其代币，造成代币价格大幅下跌。iZUMi Finance曾于7月7日起与Pinnako推出双倍奖励挖矿活动，总奖励为12万枚esPIKO和100万枚iZi。iZUMi疑似抛售PIKO持有者的质押奖励代币esPIKO，换成ETH后奖励iZi持有者。[2023/7/19 11:03:59]

美国参议员要求调查Prometheum是否提供向国会虚假证词:金色财经报道，美国参议员Thomas Tuberville (R-Ala.)周一给司法部长Merrick Garland和证券交易委员会（SEC）主席Gary Gensler写了一封公开信，要求他们调查加密货币交易服务经纪商Prometheum。

公开信开头写道，Prometheum \"可能向国会提供了虚假证词或违反了美国证券法\"。该立法者表示，Prometheum首席执行官Aaron Kaplan告诉国会，该公司从2019年12月开始独立开发自己的区块链平台。然而，在美国证券交易委员会提交的到2021年的文件中，Prometheum表示它依赖于上海万向区块链有限公司。[2023/7/11 10:46:49]

某巨鲸在Binance公布Launchpool新项目后存入15.54万枚BNB:金色财经报道，据Lookonchain监测，在Binance宣布Maverick Protocol ( MAV)上线Launchpool之后，一鲸鱼向Binance存入了155400枚BNB（价值3650万美元）。该巨鲸此前从RDNT Capital提取55400枚BNB，并从Venus Protocol借出10万枚BNB。[2023/6/15 21:39:36]

该攻击导致用户在将他们的钱包连接到该网站时会被指示"全部批准"，从而使得攻击者可访问钱包中的资产。

链上分析

有六个外部拥有账户(EOAs)与此次攻击直接相关

0x28733...

0x0C979...

0x4eD07...

LayerZero 推出最高奖金 1500 万美元的漏洞赏金计划:5月17日消息，LayerZero Labs 与 Immunefi 合作推出最高奖金 1500 万美元的漏洞赏金计划。该计划的奖金超越了 MakerDAO 的 1000 万美元，成为 Web3 领域奖金最高的漏洞赏金计划。

LayerZero 联合创始人兼首席执行官 Bryan Pellegrino 表示，LayerZero 去年在审计上花费了约 500 万美元。[2023/5/18 15:09:32]

0x4499b...

0x99AeB...

0xAAb00...

根据CertiK的评估，此次攻击开始于北京时间7月17日下午03:25，即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。

韩国世宗学堂将设元宇宙校园:金色财经报道，韩国世宗学堂财团近日表示，旗下“元宇宙世宗学堂校园”（ksif.zep.site）即将问世，这将进一步方便外国人在虚拟空间用韩国语沟通学习。[2022/11/28 21:06:08]

一位用户声称2个GoblintownNFTs被盗

在OpenSea上搜索这两个NFT，可以看到它们是如何交易的。同样，也可以通过搜索找到窃取NFT的钱包——EOA0x0C979…

通过监测NFT的流动，我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式：大量资产流入，随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……，其也为0x28733……提供了资金。

重复上述检测，可以确认0x28733……也参与了黑客攻击。

一名受害者发帖称，他们的MoonbirdsOddities被盗

在Etherscan搜索用户名称，显示MoonbirdNFT被交易至EOA0x28733……

该地址的流动模式与EOA0x0C979…相同——大量资产流入，随后被迅速抛售。

这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT，

针对这次攻击，Premint的推特账户发布了一个警告：不要签署“全部批准”的交易，并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。

目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。

资产去向

272ETH(价值约37万美元)目前存储于：https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。

其余2.68ETH存储于：https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3?

此次攻击事件的部分黑客交易尚在等待处理中。

写在最后

TheBoredApeYachtClubNFT(BAYC)网络钓鱼攻击事件及NFT艺术家Beeple的Twitter账户被盗事件已充分说明了Web2.0在中心化问题上的脆弱性。

为了避免这种情况的发生，Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证，并在每次交互后撤销特权。

来源：金色财经

标签：NFTETHTHEETHEDNFT价格togetherbnb最新版本下载thegardenofedentether币行情

火币交易所热门资讯