NFT:CertiK首发：Web2.0旧疾难去，Premint NFT被盗事件分析-ODAILY

北京时间2022年7月17日，CertiK安全团队监测到知名NFT平台PremintNFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。

漏洞分析

黑客将恶意JavaScript代码上传至项目官网https://premint.xyz，恶意代码通过URL注入网站：https://s3-redwood-labs-premint-xyzcom/cdn.min.js?v=1658046560357，目前域名服务器不再存在，因此恶意文件不再可用。

Spencer Schiff：人工智能的发展导致比特币未来几年可能跌至接近零:金色财经报道，黄金支持者彼得·希夫（Peter Schiff）的儿子Spencer Schiff表示，比特币不会对世界产生重大影响，未来几年其价格可能会跌至接近零。Spencer Schiff多年来一直认为比特币是一种出色的长期投资和通胀对冲工具，而他的父亲是比特币的批评者。

Schiff解释称：我观点的转变与熊市无关。去年年底比特币触底那天，我仍然非常看好比特币。我甚至说服母亲抄底，我不再关心比特币的唯一原因是人工智能。如果没有人工智能，我仍然认为比特币的价格将达到每枚数千万美元”。[2023/7/20 11:05:41]

CertiK：过去三个月监测到349起NFT项目Discord被攻击事件，至少41个虚假网站来自同一团伙:8月8日消息，安全机构CertiK在Twitter上表示，过去三个月共监测到349起NFT项目Discord被攻击事件，其中5月119起，6月116起，7月114起。此外，据调查攻击者发布的虚假网站中，至少41个网站来自同一团伙。[2022/8/8 12:10:10]

该攻击导致用户在将他们的钱包连接到该网站时会被指示"全部批准"，从而使得攻击者可访问钱包中的资产。

动态 | NBA篮球运动员Spencer Dinwiddie对联盟拒绝将其续约合同代币化的决定感到失望:NBA篮球运动员Spencer Dinwiddie在社交平台中对NBA以违反政策为由，拒绝将其续约合同代币化的决定感到失望。他表示联盟官员可能对他的要求存在误解，并补充说他愿意沟通解决这个问题。据此前消息，Dinwiddie希望通过与加密公司Paxos合作将他三年期3450万美元合同的第一年代币化，来筹集1350万美元。Dinwiddie还宣布推出一个名为Dream Fan Shares的区块链新平台，将其作为一种创新的投资工具，让运动员和娱乐界人士能够签署他们的职业融资合同。[2019/9/29]

链上分析

有六个外部拥有账户(EOAs)与此次攻击直接相关

声音 | 分析师Larry Cermak：目前加密交易所总被盗金额已达13.5亿美元:The Block分析师Larry Cermak近期发推对币安被盗事件发表以下看法： 1. 4100万美元对于币安来说不是什么大事，他们47天就能赚回来； 2.这是历史上第六大交易所被盗事件，目前交易所总被盗金额已达13.5亿美元； 重组（reorg）是个愚蠢的想法，因为它并不奏效。[2019/5/11]

0x28733...

0x0C979...

0x4eD07...

0x4499b...

0x99AeB...

0xAAb00...

根据CertiK的评估，此次攻击开始于北京时间7月17日下午03:25，即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。

一位用户声称2个GoblintownNFTs被盗

在OpenSea上搜索这两个NFT，可以看到它们是如何交易的。同样，也可以通过搜索找到窃取NFT的钱包——EOA0x0C979…

通过监测NFT的流动，我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式：大量资产流入，随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……，其也为0x28733……提供了资金。

重复上述检测，可以确认0x28733……也参与了黑客攻击。

一名受害者发帖称，他们的MoonbirdsOddities被盗

在Etherscan搜索用户名称，显示MoonbirdNFT被交易至EOA0x28733……

该地址的流动模式与EOA0x0C979…相同——大量资产流入，随后被迅速抛售。

这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT，

针对这次攻击，Premint的推特账户发布了一个警告：不要签署“全部批准”的交易，并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。

目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。

资产去向

272ETH(价值约37万美元)目前存储于：https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。

其余2.68ETH存储于：https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3

此次攻击事件的部分黑客交易尚在等待处理中。

写在最后

TheBoredApeYachtClubNFT(BAYC)网络钓鱼攻击事件及NFT艺术家Beeple的Twitter账户被盗事件已充分说明了Web2.0在中心化问题上的脆弱性。

为了避免这种情况的发生，Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证，并在每次交互后撤销特权。

标签：NFTCER比特币PENsnft币最新进展CERT立方根比特币中国官网联系方式OpenSwap

世界币热门资讯