NFT工具安全吗?Premint被黑带给我们哪些启示
摘要: Web3的世界,千万别放松警惕。
7月17日下午,成都链安链必应-区块链安全态势感知平台舆情监测显示,NFT服务提供商PREMINT项目遭受黑客攻击,黑客获利314个NFTs,价值37万美元。成都链安安全团队对此事件进行了分析。
首先要介绍本次被黑的对象PREMINT。
据悉,PREMINT 是目前很多项目方和个人使用最频繁的 NFT 服务之一,简单而言,我们可以将PREMINT理解为白名单抽奖工具。
对于用户而言,他可以通过PREMINT一次性完成关注项目方Twitter、进入官方Discord,填写地址等步骤来参与抽奖。
从NFT项目方的角度来说,项目方不需要独自开发抽奖系统,PREMINT可以帮助项目方收集地址、验资、开奖、引流等步骤,节约了时间和技术成本。
也因此,这次攻击导致很多人中招。攻击发生之后,项目方也在推特发文提醒用户不要签署任何设置批准所有的交易。
接下来,我们就来拆解本次攻击是如何发生的。
#事件相关信息
•攻击者相关地址
1. 0x28733543ec21DFD4Dac3FA2d7AD74d6c6d2Bb49d
2. 0x0C9797805a22E507Bf48F35C72A67f001b7418d0
3. 0x4eD07767e70199F2423dC67FDE6802C1E7D06cA1
4. 0x4499bac5B15321b6fcD6Faf781Be8ae96EAAFeEf
5. 0x99AeB028E43F102C5776F6B652952BE540826bf4
6. 0xAAb00F612D7dED169E51cf0142D48FF560f281f3
#攻击过程
1.攻击者通过在项目官网https://premint.xyz注入恶意js代码,该代码会加载攻击者服务器上的https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js文件。
2.由于目前黑客的服务器已经不能访问,因此无法直接获取到该js文件。但在web.archive.org仍然能够查到其备份,具体内容如下:
如上图所示,红框1处内容为调用方法,对应setApprovalForAll(address,bool)方法的function selector,如下图所示。而红框2处内容为钓鱼网站常规检测用户钱包是否存在余额等常规操作。
该方法是钓鱼网站常用方法之一,通过它钓鱼网站可以获取到用户钱包中所有NFT的所有权。
3.一旦用户访问该网站并连接钱包后,攻击者会诱使其批准setApprovalForAll交易,使得攻击者获取到用户钱包中所有NFT的所有权,并将其挂单在OpenSea交易所中卖出,如下图所示:
下图为被盗NFT在OpenSea上的交易记录,根据该记录可以定位攻击者地址为:0x0C9797805a22E507Bf48F35C72A67f001b7418d0。
接着根据该地址搜索相关交易,我们发现其余5个相关地址。
4.最后,攻击者已将所盗资产转移至Tornado.Cash。
#资金追踪
截止发文时,攻击者获利约314个NFTs,价值37万美元,成都链安链必追平台监测到攻击者目前已将被盗资金陆续转移到Tornado Cash,成都链安安全团队将持续对进入龙卷风的资金进行分析和追踪。
#总结
针对本次事件,成都链安安全团队建议:1.如果发现钱包被盗,用户应该及时去revoke.cash取消授权。2.用户需要避免过度授权保证财产安全。
作为一家致力于区块链安全生态建设的全球领先区块链安全公司,也是最早将形式化验证技术应用到区块链安全的公司,成都链安目前已与国内外头部区块链企业建立了深度合作;为全球2000多份智能合约、100多个区块链平台和落地应用系统提供了安全审计与防御部署服务。自主研发的“链必安”一站式区块链安全服务平台可为执法监管机构、金融机构、区块链企业等提供安全审计、安全防护、安全监管、安全预警、安全咨询等全生命周期安全保障解决方案。欢迎点击公众号留言框,与我们联系。
评论(0)
Oh! no
您是否确认要删除该条评论吗?