7?月?17 日,据慢雾区情报反馈,Premint 遭遇黑客攻击。慢雾安全团队在第一时间进行分析和预警。
本文来自慢雾区伙伴 Scam Sniffer 的投稿,具体分析如下:
攻击细节
打开任意 Premint 项目页面,可以看到有个 cdn.min.js 注入到了页面中,看调用栈该 js 是由 [boomerang.min.js](https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js) 注入,目前该 s3-redwood-labs-premint-xyz.com 域名已经停止解析,无法正常访问了。
查询 Whois,该域名在 2022-07-16 注册于 Tucows Domains Inc:
打开 virustotal.com 可以看到该域名之前曾解析到 CloudFlare:
数据:BTC链上速度最近触及年内高点,但远不及此前牛市水平:加密数据提供商CryptoQuant在推特上表示,BTC链上速度(Velocity)最近触及年内高点,但与之前的牛市相比仍然保持在非常低的水平。[2021/3/23 19:10:16]
打开源代码可以看到 boomerang.min.js 是 Premint 用到的一个 UI 库:
该 js 是在 s3-redwood-labs.premint.xyz 域名下,猜测:
上传文件接口有漏洞可以上传任意文件到任意 Path (比较常见的 Web 漏洞)
黑客拿到了他们这个 Amazon S3 的权限,从而可以注入恶意代码
这个第三方库被供应链攻击污染了
把 boomerang.min.js 代码下载下来,前面都是正常的代码,但是末尾有一段经过加密的代码:
Gate.io将于2月9日开启Startup项目DAO:据官方公告,Gate.io将于2月9日17:00上线Startup首发项目DAO Maker (DAO) 开始首发上线交易。根据DAO Maker 私募部分解锁规则, 上线交易时解锁20%,以后每个季度解锁20%。上线交易之时,此前 Gate.io Startup 认购参与用户会收到20% 的DAO 代币。[2021/2/8 19:11:58]
这段代码负责把代码 s3-redwood-labs-premint-xyz.com/cdn.min.js 注入到页面。
恶意代码 cdn.min.js
根据代码内容,可以大致看到有通过调用 dappradar.com 的接口来查询用户的 NFT 资产列表(此前我们也有看到恶意网站通过 Debank,Opensea 的 API 来查询用户资产等)。
如果用户持有相关 NFT 资产:
恶意代码会以 Two-step wallet 验证的借口,发起 setApprovalForAll 让用户授权给他们后端接口返回的地址(攻击者一般为了提高封禁成本,基本上会分流并且每个地址控制在 200 个交易内)。
如果用户点了 Approve,攻击者还会调用监测代码通知自己有人点击了:
如果当用户地址没有 NFT 资产时,它还会尝试直接发起转移钱包里的 ETH 的资产请求:
另外这种代码变量名加密成 _0xd289 _0x 开头的方式,我们曾经在 play-otherside.org,thesaudisnfts.xyz 这些钓鱼网站也见到过。
根据用户资产发起 setApprovalForAll 或者直接转移 ETH,并且阻止用户使用开发者工具 debug。
预防方式
那么作为普通用户如何预防?现阶段 MetaMask 对 ERC 721 的 setApprovalForAll 的风险提示,远没有 ERC20 的 Approve 做得好。
即使很多新用户无法感知到这个行为的风险,但我们作为普通用户看到带 Approve 之类的交易一定要仔细打开授权给相关地址,看看这些地址最近的交易是否异常(比如清一色的 safeTransferFrom),避免误授权!
这种攻击和上次 Etherscan 上 Coinzilla 利用广告注入恶意的攻击方式挺相似的,那么在技术上有没有可能预防?
理论上如果已知一些恶意 js 代码的行为和特征:
比如说代码的加密方式
恶意代码关键特征
代码会反 debug
会调用 opensea, debank, dappradar 等 API 查询用户资产
根据这些恶意代码的行为特征库,那么我们可以尝试在客户端网页发起交易前,检测页面有没有包含已知恶意特征的代码来探测风险,或者直接更简单一点,对常见的网站设立白名单机制,不是交易类网站发起授权,给到足够的风险提醒等。
接下来 Scam Sniffer 和慢雾安全团队也会尝试探索一下如何在客户端来预防此类的攻击发生!
Ps. 感谢作者 Scam Sniffer 的精彩分析!
波光粼粼的美人鱼鱼尾、彩虹色半透明的蝴蝶翅膀、暗黑系列的蝙蝠战袍、波浪和金属织就的裙摆……这些往往在电影中才能看到的特效,如今“穿”到了消费者的“身”上。 在“元宇宙”概念的加持下,虚拟服饰应运而生。但与实际穿戴不同的是,虚拟服饰并不能真正穿戴到消费者的身上,而是需要消费者提供自己的照片,设计师会将其与虚拟服饰进行合成,为消费者打造“专属时装大片”。
币安智能链(BSC)凭借其低廉的费用和加密交易所币安的支持,曾经十分受欢迎,其使用 BNB 代币作为其原生代币。现在,尽管BNB仍然是市值排名前五的加密货币,但围绕该代币的情绪已经发生了巨大变化。让我们来看看BSC和BNB的历史,以及他们未来可能会如何发展。
《华尔街日报》今日发文称,保证金贷款是借款或杠杆的最常见来源之一,它是金融市场起伏不定的基础。对于加密公司及其投资者而言,在当前的寒冬,杠杆正暴露出加密贷方风险管理的失败,并使他们的许多客户面临重大损失和压力。
“原来当神秘博士是这种感觉,穿越时间和空间,从未感到自己老去。” 在伦敦举办的瑞典乐队ABBA的Voyage演唱会上,站在台上的乐队成员Benny如此感叹道。?时隔40年后复出,这个成员平均年龄75岁的乐队,在半个多月前,用一场虚拟演唱会再次与粉丝见面。
文:章鱼哥 细想一下自打元宇宙概念火热后,围绕着元宇宙应用的讨论就没有停止过。元宇宙的设计初衷绝不仅仅是成为一个虚拟现实应用程序那么简单,它对未来整个工作形式可能带来质的影响,我们可以在元宇宙中工作吗?你真的想在元宇宙中工作吗? 新冠大流行已持续数年,它迫使我们大多数人改变对连接、体验和协作的看法,或者至少改变我们做这些事情的方式。
当区块链进入吞吐量瓶颈后,可以将网络分片成多个链,由不同的共识组产生区块,不同的区块生产者可以并行处理不同的交易,从而将交易负载分散,增加链上的整体吞吐量。 设计这样的分片区块链系统的关键两点是: 1.设计一个可用于跨分片交易的协议,来原子性地访问和修改状态。 2.增强交易模型,使得智能合约能够被设计为跨片并行运行。
区块见闻