Хакер скраў 375,000 XNUMX долараў у карыстальнікаў платформы Premint NFT

У нядзелю хакер узламаў афіцыйны сайт платформы белых спісаў NFT пад назвай Premint, каб скрасці NFT на суму 375,000 XNUMX долараў.

Па дадзеных ахоўнай фірмы CertiK, хакер у чорным капелюшы ўвёў шкоднасную частку кода JavaScript на premint.xyz, загадваючы карыстальнікам падпісаць шкоднасную транзакцыю праз усплывальнае акно кашалька. У агульнай складанасці шэсць карыстальнікаў падпісалі код, даючы поўны кантроль хакера, каб марнаваць сродкі.

«Учора ўвечары файл быў маніпуляваны на PREMINT невядомым трэцім бокам, што прывяло да таго, што карыстальнікам было прадстаўлена шкоднаснае злучэнне з кашальком», - каманда Premint заявіў,.

Перш чым эксплойт быў знойдзены, хакер змог скрасці 314 розных NFT. Сюды ўваходзяць NFT з такіх калекцый, як Bored Ape Yacht Club, Otherside, Moonbirds Oddities і Goblintown.

Выкрадзеныя актывы былі прададзеныя за 270 ETH ($375,000 07) каля 30:XNUMX раніцы па ўсходнім часе ў нядзелю. Хакер перавёў даходы на гэты адрас і накіраваў іх праз Tornado Cash, папулярны міксер транзакцый у сетцы Ethereum.

Эксплойт працягвае расце тэндэнцыю хакераў выкарыстоўваць уразлівасці ў традыцыйнай вэб-інфраструктуры для ажыццяўлення бяспекі праектаў web3.

У мінулым месяцы хакеры выкарысталі вэб-сайты дэцэнтралізаваных фінансавых праектаў Ribbon Finance і Convex Finance для ажыццяўлення фішынгавых атак. У іншых інцыдэнтах серверы Discord, уліковыя запісы Twitter і Instagram выкарыстоўваліся для распаўсюджвання фішынгавых спасылак, накіраваных на крадзеж криптовалюты і NFT. 

«З гэтага ясна, што экасістэма web3 павінна ўлічваць узаемасувязі з тэхналогіямі web2, асабліва ў тых кропках, дзе залежнасць ад іх становіцца ўразлівай», — сказаў The Block прадстаўнік CertiK.

© 2022 The Block Crypto, Inc. Усе правы абаронены. Гэты артыкул прадастаўляецца выключна ў інфармацыйных мэтах. Ён не прапануецца і не прызначаецца для выкарыстання ў якасці юрыдычных, падатковых, інвестыцыйных, фінансавых ці іншых рэкамендацый.