В воскресенье хакеры проникли в популярную платформу регистрации NFT Premint и украли 320 украденных NFT и более 400,000 XNUMX долларов прибыли в результате одного из крупнейших подобных взломов в этом году.
Согласно анализу компании, занимающейся безопасностью блокчейна CertiK, в воскресенье хакеры взломали веб-сайт Premint с помощью вредоносного кода JavaScript. Затем они создали всплывающее окно на сайте, которое предлагало пользователям подтвердить право собственности на свой кошелек, якобы в качестве дополнительной меры безопасности.
Несколько пользователей быстро поняли, что всплывающее окно было незаконным, и сразу же обратились в Twitter и Discord, чтобы предупредить других не следовать его инструкциям. Тем не менее, за считанные минуты хакеры уже обманули нескольких клиентов Premint.
Украденные NFT включали те из популярных коллекций Bored Ape Yacht Club, Otherside, Moonbirds Oddities и Goblintown. Защитив эти NFT, хакеры сразу же начали продавать их на таких торговых площадках, как OpenSea; одна украденная скучающая обезьяна получил цену 89 ETH, или около 132,000 XNUMX долларов.
В течение воскресенья хакеры собрали 275 ETH, или чуть более 400,000 302 долларов, путем продажи 18 украденных NFT. По словам Сертика, хакеры до сих пор сохранили XNUMX непроданных NFT.
Затем хакеры отправили средства в Tornado Cash, сервис, который объединяет криптовалютные депозиты многих пользователей и смешивает их, эффективно стирая цифровой след, обычно оставляемый транзакциями в блокчейне. Сервисы микширования, такие как Tornado Cash часто используются киберпреступниками «очистить» украденную криптовалюту.
Вчера Premint обратился в Twitter, чтобы признать взлом и заверить пользователей, что большинство учетных записей не пострадали от взлома. «Благодаря невероятному сообществу web3, распространяющему предупреждения, на это повелось относительно небольшое количество пользователей», — заявили в компании. чирикнул.
Однако некоторые пользователи Premint отметили, что взломанный сайт не работал примерно 10 часов после того, как хакеры впервые проникли на него в начале воскресенья. Другие оплакивали потерю своих цифровых активов и спрашивали, будет ли Premint возмещать этим счетам стоимость украденных NFT.
С тех пор Premint начал накапливать данные обо всех NFT, украденных в результате взлома. Компания отказалась отвечать на Decrypt на записи.
Возможно, по иронии судьбы, за несколько дней до взлома компания планировала анонсировать новую функцию безопасности: возможность входа в Premint через Twitter или Discord, метод, который позволит пользователям получить доступ к сайту без прямого ввода данных кошелька. . Любой клиент Premint, использующий такой метод входа, был бы защищен от вчерашнего взлома.
Однако эта функция еще не была выпущена. После воскресных событий руководство Premint решило развернуть эту функцию на несколько дней раньше, чем предполагалось:
Взлом — это только последняя афера, нацеленная на рынок NFT, который только в прошлом году принес 25 миллиардов долларов продаж. В феврале фишинговая афера на OpenSea украл NFT на сумму более 1.7 миллионов долларов. В апреле произошел взлом инстаграм-аккаунта Bored Ape Yacht Club. привело к краже NFT на 2.8 миллиона долларов. В прошлом месяце актер Сет Грин заплатил почти 300,000 XNUMX долларов за возвращение украденного Bored Ape NFT он планировал сделать центральным элементом предстоящего телесериала.
Несмотря на огромное количество капитала, протекающего через пространство NFT, безопасность этих активов, особенно когда они связаны с централизованными фирмами, такими как Premint, остается постоянной проблемой.
Как один пользователь Premit положите, «Безопасность — это самое важное, что не воспринимается всерьез в криптопространстве».
Примечание редактора: эта статья была обновлена после публикации, чтобы уточнить, что хакеры сохранили 18 украденных NFT и продали 302, по словам Сертика.
Хотите стать крипто-экспертом? Получите лучшее от Decrypt прямо в свой почтовый ящик.
Получайте самые большие новости о криптовалютах + еженедельные сводки новостей и многое другое!
Источник: https://decrypt.co/105385/300-nfts-stolen-400k-in-ethereum-taken-in-premint-hack.
