周日,黑客渗透了流行的 NFT 注册平台 Premint,并在今年最大的此类黑客之一中夺走了 320 个被盗 NFT 和超过 400,000 美元的利润。
根据区块链安全公司的分析 CertiK,黑客在周日使用恶意 JavaScript 代码入侵了 Premint 网站。 然后,他们在网站内创建了一个弹出窗口,提示用户验证他们的钱包所有权,表面上是作为一种额外的安全措施。
多个用户很快意识到这个弹出窗口是非法的,并立即在 Twitter 和 Discord 上警告其他人不要听从它的指示。 即便如此,在几分钟之内,黑客就已经欺骗了几个 Premint 客户。
被盗的 NFT 包括来自热门系列 Bored Ape Yacht Club、Otherside、Moonbirds Oddities 和 Goblintown 的 NFT。 在保护了这些 NFT 之后,黑客立即开始在 OpenSea 等市场上翻转它们; 一只被盗的无聊猿 价格为 89 ETH,约合 132,000 美元。
在周日的过程中,黑客通过出售 275 个被盗的 NFT 收集了 400,000 ETH,或略高于 302 美元。 据 Certik 称,到目前为止,黑客已经保留了 18 个未售出的 NFT。
然后,黑客将资金发送到 Tornado Cash,该服务将许多用户的加密货币存款集中在一起并将它们混合在一起,有效地消除了区块链交易通常留下的数字痕迹。 Tornado Cash 等混合服务 经常被网络犯罪分子使用 “清理”被盗的加密货币。
昨天,Premint 在 Twitter 上承认了这次黑客攻击,并向用户保证大多数账户都没有受到黑客攻击的影响。 “由于令人难以置信的 web3 社区传播警告,相对较少的用户为此而堕落,”该公司 啾啾.
然而,一些 Premint 用户指出,在黑客于周日早些时候首次渗透该被黑网站后,该网站被关闭了大约 10 个小时。 其他人哀叹他们的数字资产丢失,并询问 Premint 是否会退还这些账户被盗 NFT 的价值。
此后,Premint 开始收集所有在黑客攻击中被盗的 NFT 的数据。 该公司拒绝回应 解码 记录在案。
也许具有讽刺意味的是,在黑客入侵前几天,该公司曾计划宣布一项新的安全功能:通过 Twitter 或 Discord 登录 Premint 的能力,这种方法允许用户在不直接输入钱包详细信息的情况下访问该网站. 任何使用这种登录方法的 Premint 客户都可以免受昨天的黑客攻击。
但是,该功能尚未发布。 在周日的活动之后,Premint 领导层决定比预期提前几天推出该功能:
这次黑客攻击只是针对 NFT 市场的最新骗局,仅去年一年就创造了 25 亿美元的销售额。 XNUMX 月,OpenSea 上的网络钓鱼诈骗 窃取了价值超过 1.7 万美元的 NFT. XNUMX 月,Bored Ape Yacht Club 的 Instagram 帐户遭到黑客入侵 导致 2.8 万美元的 NFT 盗窃. 上个月,演员赛斯格林 支付近 300,000 美元找回被盗的 Bored Ape NFT 他正计划制作即将上映的电视连续剧的核心。
尽管有大量资金流经 NFT 空间,但这些资产的安全性——尤其是与 Premint 等中心化公司连接时——仍然是一个持久的问题。
作为一个 Premit 用户 把它, “安全性是加密空间中最不被重视的事情。”
编者按:根据 Certik 的说法,本文在发布后进行了更新,以澄清黑客保留了 18 个被盗的 NFT 并出售了 302 个。
想成为加密专家吗? 将最好的 Decrypt 直接发送到您的收件箱。
资料来源:https://decrypt.co/105385/300-nfts-stolen-400k-in-ethereum-taken-in-premint-hack
