MIN:Premint 恶意代码注入攻击细节分析_miniSHIB ETH

7?月?17日，据慢雾区情报反馈，Premint遭遇黑客攻击。慢雾安全团队在第一时间进行分析和预警。

本文来自慢雾区伙伴ScamSniffer的投稿，具体分析如下：

攻击细节

打开任意Premint项目页面，可以看到有个cdn.min.js注入到了页面中，看调用栈该js是由(https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js)注入，目前该s3-redwood-labs-premint-xyz.com域名已经停止解析，无法正常访问了。

Rainfall完成100万美元pre-seed轮融资:金色财经报道，专注于隐私设计的中心化数据货币化平台Rainfall 宣布完成了一笔 100 万美元的 pre-seed 轮融资，Katapult 基金会、 D3Jubilee、Toniic 联合创始人 Charly Kleissner、以及对贝塔斯曼集团和贝塔斯曼基金会有重大影响的莫恩家族成员 Brigitte Mohn 和其他一些知名投资者参投。Rainfall 希望重新定义数据货币化，该公司认为，每个人都具有内在价值，这种价值将通过他们创建和拥有的数字数据来衡量，每个连接到 Rainfall 的个人都可以从他们选择共享的数据中获得价值，同时也不会牺牲隐私，继而更好地帮助企业、机构组织和职能部门服务客户。（cityam）[2022/6/6 4:06:26]

查询Whois，该域名在2022-07-16注册于TucowsDomainsInc：

菲律宾加密钱包Paytaca完成750万比索pre-seed轮融资:金色财经报道，菲律宾加密钱包 Paytaca 宣布通过非托管众筹平台 Flipstarter 成功募集到一笔 750 万比索的 pre-seed 轮融资，该公司总裁兼首席执行官 Joemar 透露，Paytaca 即将推出一款非托管移动钱包，并采用比特币现金（BCH）作为主要加密货币来支持小额支付交易，推动 BCH 成为商家的支付选项。未来，Paytaca 还计划将这款钱包设计为一个‘超级应用程序’，纳入食品配送、出租车叫车等聚合服务，以及账单支付和移动充值等服务，同时促进 Token Swap 和 DeFi 服务访问。[2022/5/29 3:48:27]

NFT协议BlockArt完成100万美元Pre-seed轮融资:NFT协议BlockArt宣布完成100万美元Pre-seed轮融资，CoinFund领投，Focus Labs、Metacartel Ventures、Divergence Ventures等参投。

据介绍，BlockArt成立于2019年，作为以太坊数据可视化的艺术探索，其已成长为一种链上协议，使任何人都能够通过协作可视化以及混合以太坊数据来铸造NFT艺术品。（Business Wire）[2021/7/22 1:08:52]

打开virustotal.com可以看到该域名之前曾解析到CloudFlare：

动态 | BitSpread接受Tether作为BlockBerry平台支付方式:稳定币Tether（USDT）现在可以用来订阅BitSpread的BlockBerry.com，后者是由BitSPread Group运营的在线加密财富管理和交易平台。BlockBerry财富管理为机构、家庭办公室、财富管理公司和高净值个人等成熟投资者提供加密货币投资策略。BlockBerry Trading是一个分层服务平台，为用户提供专业质量的加密货币交易服务，如现成交易和定制算法、点击直通式交易和期权定价。（Hedgeweek）[2019/9/4]

打开源代码可以看到boomerang.min.js是Premint用到的一个UI库：

ICE首席执行官Jeffrey Sprecher：比起美联储，人们更相信中本聪:国际交易所（ICE），纽约证券交易所（NYSE）的所有者和经营者，正在密切关注新兴的加密货币交易市场。ICE首席执行官Jeffrey Sprecher在接受彭博社采访时表示，对加密货币进行折扣是不谨慎的，他不排除在交易所运营商的交易平台上推出加密货币期货合约的可能性。“这里有一种趋势，我们不能忽视，所以我不打折扣，”Sprecher说，“比起美联储，人们对一个没人见过的叫中本聪的人更有信心。”[2018/4/11]

该js是在s3-redwood-labs.premint.xyz域名下，猜测：

上传文件接口有漏洞可以上传任意文件到任意Path

黑客拿到了他们这个AmazonS3的权限，从而可以注入恶意代码

这个第三方库被供应链攻击污染了

把boomerang.min.js代码下载下来，前面都是正常的代码，但是末尾有一段经过加密的代码：

这段代码负责把代码s3-redwood-labs-premint-xyz.com/cdn.min.js注入到页面。

恶意代码cdn.min.js

根据代码内容，可以大致看到有通过调用dappradar.com的接口来查询用户的NFT资产列表。

如果用户持有相关NFT资产：

恶意代码会以Two-stepwallet验证的借口，发起setApprovalForAll让用户授权给他们后端接口返回的地址。

如果用户点了Approve，攻击者还会调用监测代码通知自己有人点击了：

如果当用户地址没有NFT资产时，它还会尝试直接发起转移钱包里的ETH的资产请求：

另外这种代码变量名加密成_0xd289_0x开头的方式，我们曾经在play-otherside.org，thesaudisnfts.xyz这些钓鱼网站也见到过。

根据用户资产发起setApprovalForAll或者直接转移ETH，并且阻止用户使用开发者工具debug。

预防方式

那么作为普通用户如何预防？现阶段MetaMask对ERC721的setApprovalForAll的风险提示，远没有ERC20的Approve做得好。

即使很多新用户无法感知到这个行为的风险，但我们作为普通用户看到带Approve之类的交易一定要仔细打开授权给相关地址，看看这些地址最近的交易是否异常，避免误授权！

这种攻击和上次Etherscan上Coinzilla利用广告注入恶意的攻击方式挺相似的，那么在技术上有没有可能预防？

理论上如果已知一些恶意js代码的行为和特征：

比如说代码的加密方式

恶意代码关键特征

代码会反debug

会调用opensea,debank,dappradar等API查询用户资产

根据这些恶意代码的行为特征库，那么我们可以尝试在客户端网页发起交易前，检测页面有没有包含已知恶意特征的代码来探测风险，或者直接更简单一点，对常见的网站设立白名单机制，不是交易类网站发起授权，给到足够的风险提醒等。

接下来ScamSniffer和慢雾安全团队也会尝试探索一下如何在客户端来预防此类的攻击发生！

Ps.感谢作者ScamSniffer的精彩分析！

标签：PREMINALLAPPXPRESS币miniSHIB ETHMonster Ball币世界官网app下载网址

欧易交易所app下载热门资讯