北京时间2022年7月17日,CertiK安全团队监测到知名NFT平台PremintNFT官网被入侵后于今日遭受黑客攻击。导致了约37.5万美元的损失。
漏洞分析
黑客将恶意JavaScript代码上传至项目官网https://premint.xyz,恶意代码通过URL注入网站:https://s3-redwood-labs-premint-xyzcom/cdn.min.js?v=1658046560357,目前域名服务器不再存在,因此恶意文件不再可用。
Balancer:无法暂停受漏洞影响池子,用户需自行取出LP:8月27日消息,Balancer在社交媒体X(原Twitter)上表示,发生了与此前披露漏洞相关的漏洞利用事件,但Balancer无法暂停受漏洞影响池子,为降低风险用户需自行取出LP。
此前消息,针对Gearbox Protocol遭闪电贷攻击信息,Gearbox Protocol发布公告表示,黑客攻击仅与Balancer池相关,Gearbox合约和信用账户安全,未有任何损失。[2023/8/28 13:00:24]
Balancer已部署至Base网络:金色财经报道,基于以太坊网络的自动做市商(AMM)协议Balancer宣布已部署至Base网络。该团队表示,为了加速Base的增长,Balancer在DeFi方面有一些优势,包括:优化的LST基础设施 ;资本效率提升池;下一代8020代币经济;Boosted Pools 创新池等等。[2023/8/10 16:16:16]
该攻击导致用户在将他们的钱包连接到该网站时会被指示"全部批准",从而使得攻击者可访问钱包中的资产。
链上分析
有六个外部拥有账户(EOAs)与此次攻击直接相关
0x28733...
0x0C979...
SumSwap V3 代码开发完毕,已交付给安全公司Certik审计:据官方消息,创新型去中心化协议SumSwap V3 代码已开发完毕,新版本合约拥有丰富多样的功能,除了对以前功能的优化外,还包括交易挖矿、推荐返手续费等众多新功能。新版本已经开发完毕并进行了完整的功能测试,目前SumSwap V3已交付给合约安全公司Certik审计,审计完成即可正式上线。[2021/9/2 22:55:26]
0x4eD07...
0x4499b...
0x99AeB...
0xAAb00...
根据CertiK的评估,此次攻击开始于北京时间7月17日下午03:25,即为第一批被盗的NFT进入两个黑客账户的时间——恶意代码也许正是此时被上传至项目官网的。
Balancer联合创始人:100%专注于以太坊 扩展方案Zk Rollups最有前途:10月28日,Balancer联合创始人兼CTO Mike McDonald发推阐述其对Balancer以及扩容解决方案的看法。他表示,重要的是要明确我们100%专注于以太坊。 尽管Balancer已经为一些第三方提供了小额赠款,帮助他们在其他L1网络上实施Balancer协议,但这只是处于研究目的,所有的内部努力仍在以太坊上。与此同时他还表示,Zk Rollups是最有前途的扩展方案,并且也是Balancer目前在内部探索的唯一的扩展路径。 话虽如此,但从L2演示应用迈向具有有意义的资金锁定状态的共存的L2仍然需要大量时间和持续开发。[2020/10/28]
一位用户声称2个GoblintownNFTs被盗
在OpenSea上搜索这两个NFT,可以看到它们是如何交易的。同样,也可以通过搜索找到窃取NFT的钱包——EOA0x0C979…
通过监测NFT的流动,我们发现该钱包完美符合Discord网络钓鱼攻击的典型模式:大量资产流入,随后被迅速抛售。该钱包的第一笔入账交易来自0xAAb00F……,其也为0x28733……提供了资金。
重复上述检测,可以确认0x28733……也参与了黑客攻击。
一名受害者发帖称,他们的MoonbirdsOddities被盗
在Etherscan搜索用户名称,显示MoonbirdNFT被交易至EOA0x28733……
该地址的流动模式与EOA0x0C979…相同——大量资产流入,随后被迅速抛售。
这两个钱包地址共计盗取了包括BAYC、Otherside、Globlintownm在内的314个NFT,
针对这次攻击,Premint的推特账户发布了一个警告:不要签署“全部批准”的交易,并指示那些怀疑自己被黑客攻击的用户如何联系revoke.cash来取回他们的资产。
目前幸运的是其中两个外部账户似乎已经被发现。受害者正在联系revoke.cash以取回他们的资金。
资产去向
272ETH(价值约37万美元)目前存储于:https://etherscan.io/address/0x99aeb028e43f102c5776f6b652952be540826bf4。
其余2.68ETH存储于:https://etherscan.io/address/0xaab00f612d7ded169e51cf0142d48ff560f281f3?
此次攻击事件的部分黑客交易尚在等待处理中。
写在最后
TheBoredApeYachtClubNFT(BAYC)网络钓鱼攻击事件及NFT艺术家Beeple的Twitter账户被盗事件已充分说明了Web2.0在中心化问题上的脆弱性。
为了避免这种情况的发生,Web3.0项目应该始终围绕中心化风险和单点故障建立去中心化措施——多重签名、要求多个用户在访问特权账户时进行身份验证,并在每次交互后撤销特权。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。