NFT工具安全吗?Premint被黑带给我们哪些启示

Beosin
Beosin 机构得得号

Jul 18, 2022 Beosin是总部位于新加坡的全球知名区块链安全公司,为区块链生态提供代码安全审计,安全风险监控、预警与阻断,虚拟资产被盗追回,KYT/AML等“一站式”安全产品+服务,已为全球2000多个区块链企业服务,保护客户资产5000多亿美元。

摘要: Web3的世界,千万别放松警惕。

7月17日下午,成都链安链必应-区块链安全态势感知平台舆情监测显示,NFT服务提供商PREMINT项目遭受黑客攻击,黑客获利314个NFTs,价值37万美元。成都链安安全团队对此事件进行了分析。

首先要介绍本次被黑的对象PREMINT。

据悉,PREMINT 是目前很多项目方和个人使用最频繁的 NFT 服务之一,简单而言,我们可以将PREMINT理解为白名单抽奖工具。

对于用户而言,他可以通过PREMINT一次性完成关注项目方Twitter、进入官方Discord,填写地址等步骤来参与抽奖。

从NFT项目方的角度来说,项目方不需要独自开发抽奖系统,PREMINT可以帮助项目方收集地址、验资、开奖、引流等步骤,节约了时间和技术成本。

也因此,这次攻击导致很多人中招。攻击发生之后,项目方也在推特发文提醒用户不要签署任何设置批准所有的交易。

接下来,我们就来拆解本次攻击是如何发生的。

#事件相关信息

•攻击者相关地址

1. 0x28733543ec21DFD4Dac3FA2d7AD74d6c6d2Bb49d

2. 0x0C9797805a22E507Bf48F35C72A67f001b7418d0

3. 0x4eD07767e70199F2423dC67FDE6802C1E7D06cA1

4. 0x4499bac5B15321b6fcD6Faf781Be8ae96EAAFeEf

5. 0x99AeB028E43F102C5776F6B652952BE540826bf4

6. 0xAAb00F612D7dED169E51cf0142D48FF560f281f3

#攻击过程

1.攻击者通过在项目官网https://premint.xyz注入恶意js代码,该代码会加载攻击者服务器上的https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js文件。

2.由于目前黑客的服务器已经不能访问,因此无法直接获取到该js文件。但在web.archive.org仍然能够查到其备份,具体内容如下:

如上图所示,红框1处内容为调用方法,对应setApprovalForAll(address,bool)方法的function selector,如下图所示。而红框2处内容为钓鱼网站常规检测用户钱包是否存在余额等常规操作。

该方法是钓鱼网站常用方法之一,通过它钓鱼网站可以获取到用户钱包中所有NFT的所有权。

3.一旦用户访问该网站并连接钱包后,攻击者会诱使其批准setApprovalForAll交易,使得攻击者获取到用户钱包中所有NFT的所有权,并将其挂单在OpenSea交易所中卖出,如下图所示:

下图为被盗NFT在OpenSea上的交易记录,根据该记录可以定位攻击者地址为:0x0C9797805a22E507Bf48F35C72A67f001b7418d0。

接着根据该地址搜索相关交易,我们发现其余5个相关地址。

4.最后,攻击者已将所盗资产转移至Tornado.Cash。

#资金追踪

截止发文时,攻击者获利约314个NFTs,价值37万美元,成都链安链必追平台监测到攻击者目前已将被盗资金陆续转移到Tornado Cash,成都链安安全团队将持续对进入龙卷风的资金进行分析和追踪。

#总结

针对本次事件,成都链安安全团队建议:1.如果发现钱包被盗,用户应该及时去revoke.cash取消授权。2.用户需要避免过度授权保证财产安全。

作为一家致力于区块链安全生态建设的全球领先区块链安全公司,也是最早将形式化验证技术应用到区块链安全的公司,成都链安目前已与国内外头部区块链企业建立了深度合作;为全球2000多份智能合约、100多个区块链平台和落地应用系统提供了安全审计与防御部署服务。自主研发的“链必安”一站式区块链安全服务平台可为执法监管机构、金融机构、区块链企业等提供安全审计、安全防护、安全监管、安全预警、安全咨询等全生命周期安全保障解决方案。欢迎点击公众号留言框,与我们联系。

链得得仅提供相关信息展示,不构成任何投资建议
本文系作者 Beosin 授权链得得发表,并经链得得编辑,转载请注明出处、作者和本文链接

更多精彩内容,关注链得得微信号(ID:ChainDD),或者下载链得得App

分享到:

相关推荐

    评论(0

    Oh! no

    您是否确认要删除该条评论吗?

    分享到微信