CER:CertiK首发：Web2.0旧疾难去Premint NFT被盗事件分析

北京时间2022年7月17日，CertiK安全团队监测到知名NFT平台Premint NFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。

漏洞分析

黑客将恶意JavaScript代码上传至项目官网https://premint.xyz，恶意代码通过URL注入网站：https://s3-redwood-labs-premint-xyz[.]com/cdn.min.js?v=1658046560357，目前域名服务器不再存在，因此恶意文件不再可用。

Balancer V2预计将在3月推出 将在Gas费、资金效率等方面优化:Balancer V2版本预计将在3月推出。Balancer 创始人Fernando发布文章介绍Balancer V2。文章中指出Balancer V2的核心原则是安全性、灵活性、资金效率和Gas效率。这些亮点包括:机池、提升Gas效率、可定制的AMM logic、通过资产管理者提升资产效率、降低Gas费用、弹性预言机、社区治理协议费用。[2021/2/3 18:46:07]

该攻击导致用户在将他们的钱包连接到该网站时会被指示 "全部批准（set approvals for all）"，从而使得攻击者可访问钱包中的资产。

Balancer Labs发起关于更新代币白名单进程的提案投票:据官方消息，去中心化交易协议Balancer Labs发起关于更新BAL代币流动性挖矿的代币白名单进程提案，该提案将于北京时间8月16日零时进行投票，投票将持续24小时。决定投票权的快照区块高度为10665000。Balancer Labs表示不需要从Balancer池中取出BAL代币来进行投票。[2020/8/15]

链上分析

有六个外部拥有账户 (EOAs)与此次攻击直接相关

0x28733...

0x0C979...

0x4eD07...

0x4499b...

0x99AeB...

CertiK：Balancer遭黑客攻击损失约90万人民币，其他DeFi合约需警惕:6月29日北京时间凌晨2点03分，CertiK天网系统检查到在区块10355807处Balancer DeFi合约异常。此次攻击约获利90万人民币。

安全研究员迅速介入调查，攻击重现如下：

阶段0：攻击者从dYdX闪电贷处借款，获得初始WETH资金。

阶段1：攻击者使用WETH将Balancer中的STA尽可能买空，最大程度提高STA价格。

阶段2：攻击者用获得的STA多次买回WETH。每一次都用最小量的STA（数值为1e-18）进行购买，并利用Balancer内部漏洞函数gulp()，锁定STA的数目，控制STA对WETH的价格。重复多次该种买回操作，直到将Balancer中的WETH取空。

阶段3：换一种代币，用STA重复阶段2直到取空该种代币。阶段三重复了三次，一共有4种代币受到了损失WETH，WBTC, LINK和SNX。

阶段4：偿还dYdX闪电贷，离场。

CertiK判断攻击者是有经验的黑客团队在充分准备后的一次攻击尝试，有很大可能还会继续攻击其他DeFi合约。[2020/6/30]

0xAAb00...

动态 | CertiK获OKEx最佳安全审计伙伴奖:在刚刚闭幕的2018OKEx产业共赢大会上，CertiK荣获最佳安全审计伙伴奖项。CertiK是美国形式化验证公司，专注于以深度规范技术（DeepSpec）验证智能合约安全，提供安全审计服务。目前，CertiK已成为多家交易所指定代码审计机构并达成战略合作关系，并对数十家区块链项目完成了严格的代码审计服务。[2018/7/23]

根据CertiK的评估，此次攻击开始于北京时间7月17日下午03:25，即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。

一位用户声称2个Goblintown NFTs被盗

在OpenSea上搜索这两个NFT，可以看到它们是如何交易的。同样，也可以通过搜索找到窃取NFT的钱包——EOA 0x0C979…

通过监测NFT的流动，我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式：大量资产流入，随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……，其也为0x28733……提供了资金。

重复上述检测，可以确认0x28733……也参与了黑客攻击。

一名受害者发帖称，他们的Moonbirds Oddities被盗

在Etherscan搜索用户名称，显示Moonbird NFT被交易至EOA 0x28733……

该地址的流动模式与EOA 0x0C979…相同——大量资产流入，随后被迅速抛售。

这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT（价值约37.5万美元），

针对这次攻击，Premint的推特账户发布了一个警告：不要签署“全部批准（set approvals for all）”的交易，并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。

目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。

资产去向

272 ETH (价值约37万美元) 目前存储于：https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。

其余2.68 ETH（价值约3636美元）存储于：https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3?

此次攻击事件的部分黑客交易尚在等待处理中。

写在最后

The Bored Ape Yacht Club NFT (BAYC) 网络钓鱼攻击事件（损失约31.9万美元）及NFT艺术家 Beeple的Twitter账户被盗事件（导致其粉丝损失了价值约43.8万美元的NFT和加密货币）已充分说明了Web2.0在中心化问题上的脆弱性。

为了避免这种情况的发生，Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证，并在每次交互后撤销特权。

标签：CERBALALAANCSaucerSwapRankingBallPhalaSkyrim Finance

TRX热门资讯