У нядзелю хакеры праніклі на папулярную платформу рэгістрацыі NFT Premint і пазбавіліся 320 скрадзеных NFT і атрымалі больш за 400,000 XNUMX долараў прыбытку ў выніку аднаго з найбуйнейшых узломаў гэтага года.
Згодна з аналізам фірмы па бяспецы блокчейна CertiK, у нядзелю хакеры скампраметавалі сайт Premint з дапамогай шкоднаснага кода JavaScript. Затым яны стварылі ўсплывальнае акно на сайце, якое прапаноўвала карыстальнікам пацвердзіць права ўласнасці на кашалёк, нібыта ў якасці дадатковай меры бяспекі.
Некалькі карыстальнікаў хутка зразумелі, што ўсплывальнае акно было нелегітымным, і неадкладна перайшлі ў Twitter і Discord, каб папярэдзіць іншых не выконваць інструкцыі. Нягледзячы на гэта, за лічаныя хвіліны хакеры ўжо падманулі некалькіх кліентаў Premint.
Скрадзеныя NFT ўключалі NFT з папулярных калекцый Bored Ape Yacht Club, Otherside, Moonbirds Oddities і Goblintown. Пасля забеспячэння бяспекі гэтых NFT хакеры неадкладна пачалі перагортваць іх на такіх рынках, як OpenSea; адзін скрадзены Bored Ape атрымаў цану 89 ETH, або каля 132,000 XNUMX долараў.
За нядзелю хакеры сабралі 275 ETH, або крыху больш за 400,000 302 долараў, прадаўшы 18 скрадзеныя NFT. Па дадзеных Certik, на дадзены момант хакеры захавалі XNUMX непрададзеных NFT.
Затым хакеры накіравалі сродкі ў Tornado Cash, сэрвіс, які аб'ядноўвае криптовалютные дэпазіты многіх карыстальнікаў і змешвае іх, фактычна знішчаючы лічбавы след, які звычайна пакідаюць транзакцыі ў блокчейне. Паслугі міксавання, такія як Tornado Cash часта выкарыстоўваюцца кіберзлачынцамі «ачысціць» скрадзеную криптовалюту.
Учора Premint звярнуўся ў Twitter, каб пацвердзіць узлом і запэўніць карыстальнікаў, што большасць уліковых запісаў не закрануты ўзломам. «Дзякуючы неверагодным папярэджанням супольнасці web3, адносна невялікая колькасць карыстальнікаў папала на гэта», — гаворыцца ў паведамленні кампаніі. чирикнул.
Аднак некаторыя карыстальнікі Premint адзначылі, што ўзламаны сайт не працаваў прыкладна 10 гадзін пасля таго, як хакеры ўпершыню праніклі на яго ў пачатку нядзелі. Іншыя аплаквалі страту сваіх лічбавых актываў і пыталіся, ці верне Premint гэтым акаўнтам кошт скрадзеных NFT.
З тых часоў Premint пачаў назапашваць даныя аб усіх NFT, скрадзеных у выніку ўзлому. У кампаніі адмовіліся адказваць расшыфроўваць на запіс.
Магчыма, па іроніі лёсу, за некалькі дзён да ўзлому кампанія планавала анансаваць новую функцыю бяспекі: магчымасць увайсці ў Premint праз Twitter або Discord, метад, які дазволіць карыстальнікам атрымаць доступ да сайта без непасрэднага ўводу дадзеных кашалька. . Любы кліент Premint, які выкарыстоўвае такі метад уваходу, быў бы абаронены ад учорашняга ўзлому.
Аднак функцыя яшчэ не была апублікаваная. Пасля нядзельных падзей кіраўніцтва Premint вырашыла запусціць гэтую функцыю на некалькі дзён раней, чым меркавалася:
Гэты ўзлом з'яўляецца толькі апошняй афёрай, накіраванай на рынак NFT, які толькі ў мінулым годзе прынёс 25 мільярдаў долараў продажаў. У лютым фішынг-махлярства на OpenSea скралі NFT на суму больш за 1.7 мільёны долараў. У красавіку адбыўся ўзлом інстаграм-акаўнта Bored Ape Yacht Club прывялі да крадзяжу NFT на 2.8 мільёна долараў. У мінулым месяцы акцёр Сэт Грын заплаціў амаль 300,000 XNUMX долараў за вяртанне скрадзенага Bored Ape NFT ён планаваў зрабіць цэнтральную ролю будучага тэлесерыяла.
Нягледзячы на велізарны аб'ём капіталу, які праходзіць праз прастору NFT, бяспека гэтых актываў — асабліва пры падключэнні да цэнтралізаваных фірмаў, такіх як Premint — застаецца пастаяннай праблемай.
Як адзін карыстальнік Premit пакласці яго, «Бяспека - гэта самая галоўная рэч, якую не ўспрымаюць сур'ёзна ў крыптапрасторы».
Заўвага рэдактара: гэты артыкул быў абноўлены пасля публікацыі, каб удакладніць, што хакеры захавалі 18 скрадзеных NFT і прадалі 302 да гэтага часу, паведамляе Certik.
Хочаце стаць крыптаэкспертам? Атрымайце лепшае з Decrypt прама ў паштовую скрыню.
Атрымлівайце самыя буйныя криптонавіны + штотыднёвыя агляды і многае іншае!
Крыніца: https://decrypt.co/105385/300-nfts-stolen-400k-in-ethereum-taken-in-premint-hack
