区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > Ethereum > 正文

CertiK首发:Web2.0旧疾难去Premint NFT被盗事件分析

作者:

时间:

北京时间2022年7月17日,CertiK安全团队监测到知名NFT平台Premint NFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。

漏洞分析

黑客将恶意JavaScript代码上传至项目官网https://premint.xyz,恶意代码通过URL注入网站:https://s3-redwood-labs-premint-xyz[.]com/cdn.min.js?v=1658046560357,目前域名服务器不再存在,因此恶意文件不再可用。

华语歌手巫启贤将在音乐NFT平台VoiceStreet发布新歌NFT:3月8日消息,华语歌手巫启贤(Eric Moo)将于3月18日在音乐NFT平台Voice Street上将其新歌铸成NFT。用户可以购买新歌版权碎片化代币并获得收益。[2022/3/8 13:44:45]

该攻击导致用户在将他们的钱包连接到该网站时会被指示 "全部批准(set approvals for all)",从而使得攻击者可访问钱包中的资产。

链上分析

有六个外部拥有账户 (EOAs)与此次攻击直接相关

0x28733...

0x0C979...

0x4eD07...

马里兰大学教授:数字美元势在必行:11月3日消息,马里兰大学经济学教授Peter Morici撰文称,数字美元势在必行,不是一项选择,美联储主席慢吞吞的步伐将令美国错失先发优势。而美国财长耶伦及下届美联储主席候选人Lael Brainard对数字美元表达了浓厚兴趣,这将带来明确的益处。他认为数字美元将削减可观的中介和处理费用,改进政府发放福利的手段,同时降低跨境汇款成本。他也指出商业银行的基本作用不会改变,但吸储难度会有所增加。(CentralBankCurrencies)[2021/11/3 6:28:14]

0x4499b...

0x99AeB...

0xAAb00...

根据CertiK的评估,此次攻击开始于北京时间7月17日下午03:25,即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。

Axie Infinity交易者数量突破80万 交易总额超25亿美元:金色财经报道,据最新数据显示,“边玩边赚”NFT游戏Axie Infinity交易者数量突破80万(本文撰写时为805911),销售总量为6692541笔,交易总额超过25亿美元(本文撰写时为25.3亿美元),目前在收藏品系列里是交易额排名第一的NFT项目,CryptoPunks排名第二,交易总额为14.7亿美元,交易者数量为5129,销售总量为18731笔。[2021/10/14 20:27:50]

一位用户声称2个Goblintown NFTs被盗

在OpenSea上搜索这两个NFT,可以看到它们是如何交易的。同样,也可以通过搜索找到窃取NFT的钱包——EOA 0x0C979…

通过监测NFT的流动,我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式:大量资产流入,随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……,其也为0x28733……提供了资金。

重复上述检测,可以确认0x28733……也参与了黑客攻击。

一名受害者发帖称,他们的Moonbirds Oddities被盗

在Etherscan搜索用户名称,显示Moonbird NFT被交易至EOA 0x28733……

该地址的流动模式与EOA 0x0C979…相同——大量资产流入,随后被迅速抛售。

这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT(价值约37.5万美元),

针对这次攻击,Premint的推特账户发布了一个警告:不要签署“全部批准(set approvals for all)”的交易,并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。

目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。

资产去向

272 ETH (价值约37万美元) 目前存储于:https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。

其余2.68 ETH(价值约3636美元)存储于:https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3?

此次攻击事件的部分黑客交易尚在等待处理中。

写在最后

The Bored Ape Yacht Club NFT (BAYC) 网络钓鱼攻击事件(损失约31.9万美元)及NFT艺术家 Beeple的Twitter账户被盗事件(导致其粉丝损失了价值约43.8万美元的NFT和加密货币)已充分说明了Web2.0在中心化问题上的脆弱性。

为了避免这种情况的发生,Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证,并在每次交互后撤销特权。

标签:NFTINTTHEETHNFTALLBIMagic Internet MoneyThe Red Ordertogetherbnb游戏官网

Ethereum热门资讯
这个以太坊杀手不太sui

今天和大家聊聊一个公链赛道的项目——sui。 公链赛道可谓web3行业最基础和底层的基石。不夸张的说,公链就是整个行业的造物主,比特币的出现则是拉开的行业创世纪的篇章。公链的开发难度极高,开发时间动辄一两年,长则两三年,虽然没有其他板块拥挤,但是竞争同样激烈。

元宇宙或已有 30 年历史 用不同的视角看待元宇宙

原文标题:《30 岁的元宇宙》 文章作者:3bodycapital 文章编译:Block unicorn 反对元宇宙概念的最大争论之一是,这是不切实际的期望的另一个例子,花哨的技术在概念上很好,但最终没有任何意义。当然,根据你问的人的不同,对这样的说法主要是为了反驳,这也是本世纪初人们对互联网的评价。

工作:在区块链上找工作的完整指南

当人们听到区块链技术时,他们立即认为它肯定很难理解和处理,因为一直到现在都有许多这样的刻板印象,比如说技术人员,开发人员,加密爱好者,听起来就难以掌握。 但是,事实远非如此,因为区块链已经演变(并且仍然是)成为一个包含许多较小领域的术语:从NFT和DeFi,到游戏和元宇宙,这些显著地抽象化了区块链的复杂性。

Glassnode:比特币持有活动类似于之前的市场底部

?区块链分析公司Glassnode称,大部分比特币已被“持有”至少3个月,这一行为与之前的比特币市场底部惊人地相似。 Glassnode在7月16日的一条推文中指出,投资于比特币的以美元计价的资金总额中,有超过80%已经至少三个月没有动过。 该公司表示,这意味着“大部分比特币供应处于休眠状态”,而且持有者“越来越不愿意以更低的价格出售”。

晚间必读5篇 | 交易员:为什么我不认为市场已经触底

1.金色观察丨交易员:为什么我不认为市场已经触底 加密基金交易员、DeFi专家brypto bricks近日在社交媒体发文,从链上数据和宏观趋势分析认为加密市场还没有触底。预测:我们还没有看到市场最底部,甚至还没有接近底部。一旦不动产价格大幅下跌,债券开始稳定——我们就知道市场触底了。

相比技术与产品 倾听与意见才是Web3当下的首要任务

黑客马拉松为Web3由概念转变为具有实际应用价值产品的提供了新思路。 3D电影和Web3头像有什么共同之处?是不是觉得这个问题特别无厘头?然而答案是他们的确有共同之处——外表光鲜亮丽,实际上并无多大实际用处,目前虽然有许多Web3项目继续出现,但是没有任何证据表明它们具有实际上的效用,如果你看见谁谁谁正在构建Web3的产品,并且幻想出这些产品能够满足什。