V nedeljo so se hekerji infiltrirali v priljubljeno platformo za registracijo NFT Premint in odnesli 320 ukradenih NFT in več kot 400,000 $ dobička v enem največjih tovrstnih vdorov v tem letu.
Glede na analizo varnostnega podjetja blockchain CertiK, so hekerji v nedeljo ogrozili spletno mesto Premint z zlonamerno kodo JavaScript. Nato so na spletnem mestu ustvarili pojavno okno, ki je uporabnike pozvalo k potrditvi lastništva denarnice, domnevno kot dodaten varnostni ukrep.
Več uporabnikov je hitro spoznalo, da je pojavno okno nelegitimno, in so nemudoma obiskali Twitter in Discord, da bi druge opozorili, naj ne upoštevajo navodil. Kljub temu so hekerji v nekaj minutah že preslepili več strank Preminta.
Ukradeni NFT-ji so vključevali tiste iz priljubljenih zbirk Bored Ape Yacht Club, Otherside, Moonbirds Oddities in Goblintown. Potem ko so zavarovali te NFT-je, so jih hekerji takoj začeli obračati na tržnicah, kot je OpenSea; ena ukradena Bored Ape dosegel ceno 89 ETH ali okoli 132,000 $.
V nedeljo so hekerji s prodajo 275 ukradenih NFT zbrali 400,000 ETH ali nekaj več kot 302 $. Po Certikovih besedah so hekerji doslej obdržali 18 neprodanih NFT.
Hekerji so nato sredstva poslali Tornado Cash, storitvi, ki združuje depozite v kriptovalutah številnih uporabnikov in jih zmeša ter tako učinkovito izbriše digitalno sled, ki jo običajno pustijo transakcije v verigi blokov. Storitve mešanja, kot je Tornado Cash kibernetski kriminalci pogosto uporabljajo »očistiti« ukradeno kriptovaluto.
Včeraj je Premint na Twitterju potrdil vdor in uporabnikom zagotovil, da vdor ni vplival na večino računov. "Zahvaljujoč neverjetnim opozorilom skupnosti web3, ki se širijo, je razmeroma majhno število uporabnikov padlo na to," je podjetje tweeted.
Nekateri uporabniki Preminta pa so opazili, da je spletno mesto, na katerem so vdrli, ostalo odprto približno 10 ur po tem, ko so hekerji prvič vdrli vanj zgodaj v nedeljo. Drugi so obžalovali izgubo svojih digitalnih sredstev in spraševali, ali bo Premint tem računom povrnil vrednost ukradenih NFT-jev.
Premint je od takrat začel zbirati podatke o vseh NFT-jih, ukradenih med vdorom. Družba ni želela odgovoriti Dešifriraj na zapisnik.
Morda ironično, v dneh pred vdorom je podjetje načrtovalo napovedati novo varnostno funkcijo: možnost prijave v Premint prek Twitterja ali Discorda, metode, ki bi uporabnikom omogočila dostop do spletnega mesta brez neposrednega vnosa podatkov o denarnici . Vsaka stranka Preminta, ki bi uporabljala tak način prijave, bi bila zaščitena pred včerajšnjim vdorom.
Funkcija pa še ni bila izdana. Po nedeljskih dogodkih se je vodstvo Preminta odločilo, da funkcijo uvede nekaj dni prej, kot je bilo pričakovano:
Vdor je le zadnja prevara, namenjena trgu NFT, ki je samo lani ustvaril 25 milijard dolarjev prodaje. Februarja lažno predstavljanje na OpenSea ukradel NFT v vrednosti več kot 1.7 milijone dolarjev. Aprila je prišlo do vdora v instagram račun Bored Ape Yacht Cluba privedlo do kraje NFT v vrednosti 2.8 milijona dolarjev. Prejšnji mesec igralec Seth Green plačal skoraj 300,000 $ za vrnitev ukradenega Bored Ape NFT nameraval je postati osrednji del prihajajoče televizijske serije.
Kljub ogromni količini kapitala, ki se pretaka skozi prostor NFT, varnost teh sredstev – še posebej, če so povezana s centraliziranimi podjetji, kot je Premint – ostaja trajna težava.
Kot en uporabnik Premita stavi, "Varnost je največja stvar, ki je v kripto prostoru ne jemljejo resno."
Opomba urednika: Ta članek je bil posodobljen po objavi, da bi pojasnili, da so hekerji do zdaj obdržali 18 ukradenih NFT-jev in prodali 302, poroča Certik.
Želite biti strokovnjak za kripto? Pridobite najboljše od Decrypt naravnost v vaš nabiralnik.
Pridobite največje kripto novice + tedenske preglede in še več!
Vir: https://decrypt.co/105385/300-nfts-stolen-400k-in-ethereum-taken-in-premint-hack
