木星链 木星链
Ctrl+D收藏木星链
首页 > TRX > 正文

CER:CertiK首发:Web2.0旧疾难去Premint NFT被盗事件分析

作者:

时间:1900/1/1 0:00:00

北京时间2022年7月17日,CertiK安全团队监测到知名NFT平台Premint NFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。

漏洞分析

黑客将恶意JavaScript代码上传至项目官网https://premint.xyz,恶意代码通过URL注入网站:https://s3-redwood-labs-premint-xyz[.]com/cdn.min.js?v=1658046560357,目前域名服务器不再存在,因此恶意文件不再可用。

Balancer V2预计将在3月推出 将在Gas费、资金效率等方面优化:Balancer V2版本预计将在3月推出。Balancer 创始人Fernando发布文章介绍Balancer V2。文章中指出Balancer V2的核心原则是安全性、灵活性、资金效率和Gas效率。这些亮点包括:机池、提升Gas效率、可定制的AMM logic、通过资产管理者提升资产效率、降低Gas费用、弹性预言机、社区治理协议费用。[2021/2/3 18:46:07]

该攻击导致用户在将他们的钱包连接到该网站时会被指示 "全部批准(set approvals for all)",从而使得攻击者可访问钱包中的资产。

Balancer Labs发起关于更新代币白名单进程的提案投票:据官方消息,去中心化交易协议Balancer Labs发起关于更新BAL代币流动性挖矿的代币白名单进程提案,该提案将于北京时间8月16日零时进行投票,投票将持续24小时。决定投票权的快照区块高度为10665000。Balancer Labs表示不需要从Balancer池中取出BAL代币来进行投票。[2020/8/15]

链上分析

有六个外部拥有账户 (EOAs)与此次攻击直接相关

0x28733...

0x0C979...

0x4eD07...

0x4499b...

0x99AeB...

CertiK:Balancer遭黑客攻击损失约90万人民币,其他DeFi合约需警惕:6月29日北京时间凌晨2点03分,CertiK天网系统检查到在区块10355807处Balancer DeFi合约异常。此次攻击约获利90万人民币。

安全研究员迅速介入调查,攻击重现如下:

阶段0:攻击者从dYdX闪电贷处借款,获得初始WETH资金。

阶段1:攻击者使用WETH将Balancer中的STA尽可能买空,最大程度提高STA价格。

阶段2:攻击者用获得的STA多次买回WETH。每一次都用最小量的STA(数值为1e-18)进行购买,并利用Balancer内部漏洞函数gulp(),锁定STA的数目,控制STA对WETH的价格。重复多次该种买回操作,直到将Balancer中的WETH取空。

阶段3:换一种代币,用STA重复阶段2直到取空该种代币。阶段三重复了三次,一共有4种代币受到了损失WETH,WBTC, LINK和SNX。

阶段4:偿还dYdX闪电贷,离场。

CertiK判断攻击者是有经验的黑客团队在充分准备后的一次攻击尝试,有很大可能还会继续攻击其他DeFi合约。[2020/6/30]

0xAAb00...

动态 | CertiK获OKEx最佳安全审计伙伴奖:在刚刚闭幕的2018OKEx产业共赢大会上,CertiK荣获最佳安全审计伙伴奖项。CertiK是美国形式化验证公司,专注于以深度规范技术(DeepSpec)验证智能合约安全,提供安全审计服务。目前,CertiK已成为多家交易所指定代码审计机构并达成战略合作关系,并对数十家区块链项目完成了严格的代码审计服务。[2018/7/23]

根据CertiK的评估,此次攻击开始于北京时间7月17日下午03:25,即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。

一位用户声称2个Goblintown NFTs被盗

在OpenSea上搜索这两个NFT,可以看到它们是如何交易的。同样,也可以通过搜索找到窃取NFT的钱包——EOA 0x0C979…

通过监测NFT的流动,我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式:大量资产流入,随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……,其也为0x28733……提供了资金。

重复上述检测,可以确认0x28733……也参与了黑客攻击。

一名受害者发帖称,他们的Moonbirds Oddities被盗

在Etherscan搜索用户名称,显示Moonbird NFT被交易至EOA 0x28733……

该地址的流动模式与EOA 0x0C979…相同——大量资产流入,随后被迅速抛售。

这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT(价值约37.5万美元),

针对这次攻击,Premint的推特账户发布了一个警告:不要签署“全部批准(set approvals for all)”的交易,并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。

目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。

资产去向

272 ETH (价值约37万美元) 目前存储于:https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。

其余2.68 ETH(价值约3636美元)存储于:https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3?

此次攻击事件的部分黑客交易尚在等待处理中。

写在最后

The Bored Ape Yacht Club NFT (BAYC) 网络钓鱼攻击事件(损失约31.9万美元)及NFT艺术家 Beeple的Twitter账户被盗事件(导致其粉丝损失了价值约43.8万美元的NFT和加密货币)已充分说明了Web2.0在中心化问题上的脆弱性。

为了避免这种情况的发生,Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证,并在每次交互后撤销特权。

标签:CERBALALAANCSaucerSwapRankingBallPhalaSkyrim Finance

TRX热门资讯
元宇宙:元宇宙赋能场景金融:商业银行竞争发展新赛道

作者:陆岷峰 排版:王纪珑琰摘要数字经济时代,商业银行间的竞争已经从传统的网点、人员投入的竞争迈向高科技嵌入下的场景竞争,元宇宙作为与现实世界共生的虚拟世界.

1900/1/1 0:00:00
NFT:Bankless:简析 5 种常见 NFT 投放方式

原文标题:《Bankless:了解 5 种流行的 NFT 投放方式及其优缺点》(NFT drop styles)撰文:William?M.?Peaster编译:东寻今年夏天早些时候.

1900/1/1 0:00:00
WEB3:Web3.0里的各种乱象:谈谈StepN和NFT

在互联网巨头垄断的阴影下,受区块链分布式和去中心化的哲学思潮影响,科技圈希望用更透明、更公平、更开放、更去中心化以及价值连接的方式实现一个全新的互联网.

1900/1/1 0:00:00
JED:八年抛售即将结束 Ripple前CTO套现了多少钱?

近些年来存在感越来越低的 Ripple(XRP)即将迎来一件“大事”。Jed Balance 最新数据显示,Ripple 第一任首席技术官 Jed McCaleb 的钱包内仅剩下 1794593.

1900/1/1 0:00:00
元宇宙:体育产业加速进入元宇宙 年轻人会买账吗?

体育赛事IP进军元宇宙领域,又近了一步。上周二的时候,马德里竞技足球俱乐部与数字资产平台Amber Group达成官方合作协议,Amber Group旗下的元宇宙平台WhaleFin成为了马德里.

1900/1/1 0:00:00
NFT:上海官宣支持NFT交易平台 是如何筛选投资标的

上海市政府官宣支持NFT交易平台建设,又一次将NFT推到投资视野的最前线。2022 年 7 月 12 日,上海市人民政府办公厅印发《上海市数字经济发展「十四五」规划》,明确提出「支持龙头企业探索.

1900/1/1 0:00:00