PRE:Premint 恶意代码注入攻击细节分析

7?月?17日，据慢雾区情报反馈，Premint遭遇黑客攻击。慢雾安全团队在第一时间进行分析和预警。

本文来自慢雾区伙伴ScamSniffer的投稿，具体分析如下：

攻击细节

打开任意Premint项目页面，可以看到有个cdn.min.js注入到了页面中，看调用栈该js是由(https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js)注入，目前该s3-redwood-labs-premint-xyz.com域名已经停止解析，无法正常访问了。

SupreNFT宣布与NFTMIND及LemoChain达成战略合作:据官方消息，SupreNFT宣布与NFTMIND及LemoChain达成战略合作，三方将集合各自优势，从顶级IP、底层技术和数据流通等方面，全方位推进基于AI创作的NFT生态的发展，将进一步打通并聚合区块链行业头部资源和技术，包含以下两点：（1）由SupreNFT提供包括艺术大师画作、时尚奢侈品品牌、影响力者IP、影音娱乐版权在内的全领域、全球化优质资源为“原料”；(2)由NFTMIND和LemoChain提供包括机器学习、AI、数据确权等在内的领先技术为“动力”，并在多平台、多生态中共同扩展NFT创作和流通的边界，最大化激发“AI+NFT”的价值。[2021/8/1 1:27:10]

查询Whois，该域名在2022-07-16注册于TucowsDomainsInc：

打开virustotal.com可以看到该域名之前曾解析到CloudFlare：

动态 | 区块链底层技术服务商兆物信连或千万级Pre-A轮融资:11月9日消息，区块链底层技术服务商湖南兆物信连信息科技有限公司近期获得了一笔千万级Pre-A轮融资，由起源资本和麓谷高新创投联合投资。据了解，本轮融资将主要用于研发投入、团队建设和市场推广。 （企名片）[2019/11/9]

打开源代码可以看到boomerang.min.js是Premint用到的一个UI库：

该js是在s3-redwood-labs.premint.xyz域名下，猜测：

动态 | OKCoin将推出面向机构和大户的Premier服务:据 CCN 报道，OKCoin 将推出面向机构和大户的 Premier 服务，大户的标准是在 30 天内交易量在 10 万美元以上。CCN 称，OKCoin Premier 将为客户提供专门的客户经理、快速的电汇存款（银行营业时 90 分钟内），以及较低的交易费用。[2019/4/8]

上传文件接口有漏洞可以上传任意文件到任意Path

黑客拿到了他们这个AmazonS3的权限，从而可以注入恶意代码

这个第三方库被供应链攻击污染了

把boomerang.min.js代码下载下来，前面都是正常的代码，但是末尾有一段经过加密的代码：

这段代码负责把代码s3-redwood-labs-premint-xyz.com/cdn.min.js注入到页面。

恶意代码cdn.min.js

金色相对论 | DappReviewCEO牛凤轩：区块链可以改造开发商与玩家之间的协作关系:在本期金色相对论之“Dapp游戏”中，针对金色财经内容合伙人佟扬“除了玩法之外，其他层面是否有促成爆发的原因”的提问，DappReview的CEO牛凤轩表示，区块链之于游戏，只是多了一个我们可以使用的技术和工具，而并不是说过去的游戏就要完蛋了或者全部被颠覆，主机游戏从上世纪60年代诞生，时至今日依旧竞争激烈、大作频出，Steam作为端游的分发巨头根本不需要上市和外部资金支持，桌游这种从圈外人看起来很古老的线下小众游戏其实早就是一个百亿的市场还在不断增长。

“区块链游戏”这个名词甚至都是一个伪概念，只是在行业初期，我们用来泛指所有使用了区块链技术的游戏。在最后，这些游戏还是要落地在不同的平台之上。

所以，说区块链能颠覆整个游戏行业？我是不信的，区块链可以改造开发商与玩家之间的协作关系，可以通过引入通证经济和资产代币化增加游戏的经济属性和激励机制，可以让玩家现拥有一个现实世界中实体物品一样的拥有游戏中的虚拟资产，这些是革新，是优化，不是举着一片大旗否定所有传统游戏。最终的状态下，对于大部分玩家来说，区块链植入游戏的体验应该是无感的，游戏只要好玩就可以，至于用没用区块链，这不重要。[2018/12/3]

现场 | Bodhi Market Prediction首席执行官：加密市场低迷并不影响共识:CoinTime现场报道，今日在芝加哥举办的区块链之声大会上，CoinTime美国首席运营官Angela Tong主持了有关中国区块链生态系统的小组讨论。Bodhi Market Prediction首席执行官兼创始人Xiahong Lin指出，市场低迷是非常正常的，健康的市场有时会在新价值加入时上升，而在价值下降时下跌。 这个看跌的市场提醒人们只关注价格本身是错误的，为人们提供了更多机会去思考关于该产业的下一代，这是区块链发展的真正共识。[2018/8/25]

根据代码内容，可以大致看到有通过调用dappradar.com的接口来查询用户的NFT资产列表。

如果用户持有相关NFT资产：

恶意代码会以Two-stepwallet验证的借口，发起setApprovalForAll让用户授权给他们后端接口返回的地址。

如果用户点了Approve，攻击者还会调用监测代码通知自己有人点击了：

如果当用户地址没有NFT资产时，它还会尝试直接发起转移钱包里的ETH的资产请求：

另外这种代码变量名加密成_0xd289_0x开头的方式，我们曾经在play-otherside.org，thesaudisnfts.xyz这些钓鱼网站也见到过。

根据用户资产发起setApprovalForAll或者直接转移ETH，并且阻止用户使用开发者工具debug。

预防方式

那么作为普通用户如何预防？现阶段MetaMask对ERC721的setApprovalForAll的风险提示，远没有ERC20的Approve做得好。

即使很多新用户无法感知到这个行为的风险，但我们作为普通用户看到带Approve之类的交易一定要仔细打开授权给相关地址，看看这些地址最近的交易是否异常，避免误授权！

这种攻击和上次Etherscan上Coinzilla利用广告注入恶意的攻击方式挺相似的，那么在技术上有没有可能预防？

理论上如果已知一些恶意js代码的行为和特征：

比如说代码的加密方式

恶意代码关键特征

代码会反debug

会调用opensea,debank,dappradar等API查询用户资产

根据这些恶意代码的行为特征库，那么我们可以尝试在客户端网页发起交易前，检测页面有没有包含已知恶意特征的代码来探测风险，或者直接更简单一点，对常见的网站设立白名单机制，不是交易类网站发起授权，给到足够的风险提醒等。

接下来ScamSniffer和慢雾安全团队也会尝试探索一下如何在客户端来预防此类的攻击发生！

Ps.感谢作者ScamSniffer的精彩分析！

标签：PREMIN区块链NFTEthereum SupremeMINI价格区块链的未来发展前景作者是谁NFTdot

酷币交易所热门资讯