北京時間2022年7月17日,CertiK安全團隊監測到知名NFT平臺PremintNFT官網被入侵后于今日遭受黑客攻擊。導致了約37.5萬美元的損失。
漏洞分析
黑客將惡意JavaScript代碼上傳至項目官網https://premint.xyz,惡意代碼通過URL注入網站:https://s3-redwood-labs-premint-xyzcom/cdn.min.js?v=1658046560357,目前域名服務器不再存在,因此惡意文件不再可用。
CertiK:微軟高危零日漏洞可執行任意代碼,建議用戶使用硬件錢包:金色財經報道,CertiK安全團隊發現,近日,微軟Office中一個被稱為 \"Follina \"的零日漏洞(編號CVE-2022-30190)被發現。攻擊者可使用微軟的微軟支持診斷工具(MSDT),從遠程URL檢索并執行惡意代碼。微軟Office的系列套件和使用MSDT的產品目前仍有可能受該零日漏洞的影響。
由于該漏洞允許攻擊者繞過密碼保護,通過這種方式,黑客能夠查看并獲得受害者的系統和個人信息。這個零日漏洞允許黑客進一步攻擊,提升黑客在受害者系統里的權限,并獲得對本地系統和運行進程的額外訪問,包括目標用戶的互聯網瀏覽器和瀏覽器插件,如Metamask。CertiK安全團隊建議,正確保護你的設備和個人信息。[2022/6/3 4:00:57]
Cere Network獲得3100萬美元的融資 Polygon和Republic領投:金色財經報道,區塊鏈管理系統開發商Cere Network表示,它在由投資平臺Republic和Polygon領投的一輪融資中籌集了3100萬美元,資金將用于新員工、開發者網絡增長和應用程序開發。公司還將利用這筆資金加速將其去中心化數據云集成到Polygon的協議中,預計在與Polkadot整合的第三季度末完成。(Coindesk)[2021/9/9 23:13:11]
該攻擊導致用戶在將他們的錢包連接到該網站時會被指示"全部批準",從而使得攻擊者可訪問錢包中的資產。
Balancer完成2425萬美元融資:金色財經報道,Balancer完成了2425萬美元的融資,由Blockchain Capital、Fintech Collective、LongHash Ventures、Fenbushi Capital、Continent Capital和DeFi協議Synthetix的創始人Kain Warwick領投。這些資金將用于加強Balancer作為DeFi市場的核心基礎設施提供商的地位。[2021/5/28 22:51:25]
鏈上分析
有六個外部擁有賬戶(EOAs)與此次攻擊直接相關
0x28733...
0x0C979...
Larry Cermak:目前人們搜索購買比特幣的次數是購買黃金的兩倍:TheBlock研究總監Larry Cermak發推稱,目前人們搜索購買比特幣的次數是購買黃金的兩倍。同樣的趨勢發生在2017年,但并沒有持續下去。[2021/1/17 16:23:36]
0x4eD07...
0x4499b...
0x99AeB...
0xAAb00...
根據CertiK的評估,此次攻擊開始于北京時間7月17日下午03:25,即為第一批被盜的NFT進入兩個黑客賬戶的時間——惡意代碼也許正是此時被上傳至項目官網的。
一位用戶聲稱2個GoblintownNFTs被盜
在OpenSea上搜索這兩個NFT,可以看到它們是如何交易的。同樣,也可以通過搜索找到竊取NFT的錢包——EOA0x0C979…
通過監測NFT的流動,我們發現該錢包完美符合Discord網絡釣魚攻擊的典型模式:大量資產流入,隨后被迅速拋售。該錢包的第一筆入賬交易來自0xAAb00F……,其也為0x28733……提供了資金。
重復上述檢測,可以確認0x28733……也參與了黑客攻擊。
一名受害者發帖稱,他們的MoonbirdsOddities被盜
在Etherscan搜索用戶名稱,顯示MoonbirdNFT被交易至EOA0x28733……
該地址的流動模式與EOA0x0C979…相同——大量資產流入,隨后被迅速拋售。
這兩個錢包地址共計盜取了包括BAYC、Otherside、Globlintownm在內的314個NFT,
針對這次攻擊,Premint的推特賬戶發布了一個警告:不要簽署“全部批準”的交易,并指示那些懷疑自己被黑客攻擊的用戶如何聯系revoke.cash來取回他們的資產。
目前幸運的是其中兩個外部賬戶似乎已經被發現。受害者正在聯系revoke.cash以取回他們的資金。
資產去向
272ETH(價值約37萬美元)目前存儲于:https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。
其余2.68ETH存儲于:https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3?
此次攻擊事件的部分黑客交易尚在等待處理中。
寫在最后
TheBoredApeYachtClubNFT(BAYC)網絡釣魚攻擊事件及NFT藝術家Beeple的Twitter賬戶被盜事件已充分說明了Web2.0在中心化問題上的脆弱性。
為了避免這種情況的發生,Web3.0項目應該始終圍繞中心化風險和單點故障建立去中心化措施——多重簽名、要求多個用戶在訪問特權賬戶時進行身份驗證,并在每次交互后撤銷特權。
7月14日,首屆“全球Web3生態創新峰會?新加坡”在新加坡濱海灣金沙會展中心舉行,由新加坡新躍社科大學及其普惠金融科技節點、巴比特海外新品牌“DeFi之道”聯合主辦.
1900/1/1 0:00:001、推文目的是什么? 探討潛在的加密貨幣用例 2、非投資建議 本推文不會提及投資相關用途,比如“買些代幣吧,說不定會上漲呢”,這樣的內容不在本推文的討論范圍.
1900/1/1 0:00:00來源:vitalik.ca作者:VitalikButerin 編者注: 數據可用性采樣?(dataavailabilitysampling)是Dankshading的關鍵部分.
1900/1/1 0:00:00?最近,不少幣圈老友向颯姐團隊求助,希望咱們能夠幫助他們拿回早期因各種原因“丟失”的虛擬貨幣。這樣的一類案子,初聽下來感覺勝算滿滿,只覺這事成了.
1900/1/1 0:00:002020年,萬向區塊鏈董事長肖風就斷言區塊鏈會出現萬億美元市值項目。當時大部分人第一反應是,率先能夠達到萬億美金市值的肯定就是”公鏈”.
1900/1/1 0:00:00比推消息,俄羅斯總統弗拉基米爾·普京近日簽署了一項法案,將加密支付定為非法,重申盧布是俄羅斯唯一承認的官方貨幣.
1900/1/1 0:00:00