NFT:CertiK首发：Web2.0旧疾难去Premint NFT被盗事件分析

北京时间2022年7月17日，CertiK安全团队监测到知名NFT平台PremintNFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。

漏洞分析

黑客将恶意JavaScript代码上传至项目官网https://premint.xyz，恶意代码通过URL注入网站：https://s3-redwood-labs-premint-xyzcom/cdn.min.js?v=1658046560357，目前域名服务器不再存在，因此恶意文件不再可用。

加拿大金融管理局发布加密资产风险监管指导方针草案:金色财经报道，加拿大金融管理局宣布了两份关于加密资产风险监管资本处理的指导方针草案。加拿大金融管理局表示，将发布新的指导方针，以取代2022年8月发布的有关加密资产风险监管处理的临时咨询意见。[2023/7/26 16:00:41]

Poly Network生态核心贡献者：建立统一的跨链安全模型有助于我们系统化理解互操作风险:4月15日消息，在2023香港Web3嘉年华跨链专场中，Poly Network生态核心贡献者Luke Liu认为，建立统一的跨链安全模型有助于我们系统化理解互操作风险。跨链的目标是标准化通信过程，保证一条链上的请求在另一条链上被正确、顺利地执行。各条链是不同的，但我们尽量建立起统一的风险模型，包括数据请求、通信、验证三个环节。经由数学（模型）抽象，区块链系统中的多链互操作包含应用、通信、共识等不同层的协同，这一套组合交互系统既依赖各组件的安全性，也考验各组件之间交互的安全性。建立起这样的（安全）框架可以帮助我们更系统性地理解互操作风险，而非根据个例归纳。[2023/4/15 14:05:26]

该攻击导致用户在将他们的钱包连接到该网站时会被指示"全部批准"，从而使得攻击者可访问钱包中的资产。

BlockFi：债权人现可提交索赔证明，将于4月1日截止:2月14日消息，已申请破产的加密借贷公司BlockFi今日发推文称：“从今天开始，BlockFi客户将通过邮件和/或电子邮件从BlockFi的索赔代理Kroll收到有关索赔流程证明的重要信息。提交索赔证明的截止日期为EST时间2023年3月31日17:00（北京时间4月1日06:00）。”

目前债务人已经建立了一个提出索赔的门户网站，债权人可通过该门户网站提交索赔证明，也可通过平邮或快递的形式提交索赔证明，但不接受电子邮件投递。

金色财经此前报道，BlockFi向美国破产法院申请允许客户从钱包账户中提款。[2023/2/14 12:05:31]

链上分析

有六个外部拥有账户(EOAs)与此次攻击直接相关

0x28733...

0x0C979...

代币化风投基金SPiCE VC公布2022年业绩，内部收益率超50%:1月10日消息，完全代币化的风投基金SPiCE VC宣布了其2022年的业绩，即使经济逆风持续存在，也为其投资者带来了可观的回报。SPiCE的内部收益率（IRR）估计了潜在的投资收益率，超过了50%。此外，SPiCE的投资资本倍数（MOIC）增长了6倍，是VC平均MOIC的三倍。SPiCE在四年内为其投资者实现了82%的实收资本分配 (DPI)。[2023/1/11 11:05:13]

0x4eD07...

0x4499b...

0x99AeB...

0xAAb00...

根据CertiK的评估，此次攻击开始于北京时间7月17日下午03:25，即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。

Elrond将在4小时内完成主网更新和Maiar重启:金色财经消息，Elrond公链CEO BeniaminMincu发推表示，将在4小时内完成主网更新和Maiar重启。此前，黑客利用Elrond生态DEXMaiar的漏洞盗取约165万枚EGLD并在链上抛售，链上EGLD价格被砸到低于5美元，跌幅达92%。但Elrond官方及时关闭Majar并冻结黑客地址，追回95%的赃款。据悉，黑客造成的损失由Elrond基金会承担，DEX重启的解决方案是确保链上EGLD价格与币安EGLD价格匹配才会对外开放交易。[2022/6/8 4:09:50]

一位用户声称2个GoblintownNFTs被盗

在OpenSea上搜索这两个NFT，可以看到它们是如何交易的。同样，也可以通过搜索找到窃取NFT的钱包——EOA0x0C979…

通过监测NFT的流动，我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式：大量资产流入，随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……，其也为0x28733……提供了资金。

重复上述检测，可以确认0x28733……也参与了黑客攻击。

一名受害者发帖称，他们的MoonbirdsOddities被盗

在Etherscan搜索用户名称，显示MoonbirdNFT被交易至EOA0x28733……

该地址的流动模式与EOA0x0C979…相同——大量资产流入，随后被迅速抛售。

这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT，

针对这次攻击，Premint的推特账户发布了一个警告：不要签署“全部批准”的交易，并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。

目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。

资产去向

272ETH(价值约37万美元)目前存储于：https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。

其余2.68ETH存储于：https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3?

此次攻击事件的部分黑客交易尚在等待处理中。

写在最后

TheBoredApeYachtClubNFT(BAYC)网络钓鱼攻击事件及NFT艺术家Beeple的Twitter账户被盗事件已充分说明了Web2.0在中心化问题上的脆弱性。

为了避免这种情况的发生，Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证，并在每次交互后撤销特权。

来源：金色财经

标签：NFTMININTSPIPunk Vault (NFTX)Quick Mining TokenINTU币SPI币

DOGE热门资讯