У неділю хакери проникли на популярну платформу реєстрації NFT Premint і вкрали 320 викрадених NFT і отримали понад 400,000 XNUMX доларів США прибутку в одному з найбільших подібних зломів цього року.
Згідно з аналізом фірми безпеки блокчейну CertiK, у неділю хакери скомпрометували веб-сайт Premint за допомогою шкідливого коду JavaScript. Потім вони створили на сайті спливаюче вікно, яке пропонувало користувачам підтвердити право власності на гаманець, нібито як додатковий захід безпеки.
Кілька користувачів швидко зрозуміли, що спливаюче вікно нелегітимне, і негайно звернулися до Twitter і Discord, щоб попередити інших, щоб вони не дотримувались його вказівок. Незважаючи на це, за лічені хвилини хакери вже обдурили кількох клієнтів Premint.
Серед викрадених NFT були такі з популярних колекцій Bored Ape Yacht Club, Otherside, Moonbirds Oddities і Goblintown. Після захисту цих NFT хакери негайно почали розміщувати їх на таких ринках, як OpenSea; один вкрадений Bored Ape отримав ціну 89 ETH, або близько 132,000 XNUMX доларів США.
Протягом неділі хакери зібрали 275 ETH, або трохи більше 400,000 302 доларів, продавши 18 викрадені NFT. За даними Certik, наразі хакери зберегли XNUMX непроданих NFT.
Потім хакери відправили кошти в Tornado Cash, сервіс, який об’єднує депозити в криптовалюті багатьох користувачів і змішує їх, фактично знищуючи цифровий слід, який зазвичай залишають транзакції в блокчейні. Сервіси змішування, такі як Tornado Cash часто використовуються кіберзлочинцями «очистити» вкрадену криптовалюту.
Вчора Premint звернувся до Twitter, щоб визнати злом і запевнити користувачів, що більшість облікових записів не постраждали від злому. «Завдяки неймовірним попередженням спільноти web3, відносно невелика кількість користувачів потрапила на це», — повідомляє компанія. твір.
Однак деякі користувачі Premint відзначили, що зламаний сайт не працював приблизно 10 годин після того, як хакери вперше проникли на нього вранці в неділю. Інші скаржилися на втрату своїх цифрових активів і запитували, чи відшкодує Premint цим обліковим записам вартість вкрадених NFT.
Відтоді Premint почав накопичувати дані про всі NFT, вкрадені під час злому. У компанії відмовилися відповідати Розшифрувати на запис.
Можливо, за іронією долі, за кілька днів до злому компанія планувала анонсувати нову функцію безпеки: можливість входу в Premint через Twitter або Discord, метод, який дозволить користувачам отримати доступ до сайту без безпосереднього введення даних гаманця. . Будь-який клієнт Premint, який використовує такий метод входу, був би захищений від учорашнього злому.
Однак функція ще не була випущена. Після недільних подій керівництво Premint вирішило запустити функцію на кілька днів раніше, ніж очікувалося:
Цей злом є лише останнім шахрайством, націленим на ринок NFT, який лише минулого року приніс 25 мільярдів доларів продажів. У лютому фішингова афера на OpenSea вкрали NFT на суму понад 1.7 мільйони доларів. У квітні стався злом інстаграм-аккаунта Bored Ape Yacht Club призвело до крадіжки NFT на 2.8 мільйона доларів. Минулого місяця актор Сет Грін заплатив майже 300,000 XNUMX доларів, щоб повернути викрадену NFT Bored Ape він планував зробити центральну частину майбутнього телесеріалу.
Незважаючи на величезну кількість капіталу, що протікає через простір NFT, безпека цих активів, особливо якщо вони підключені до централізованих компаній, таких як Premint, залишається постійною проблемою.
Як один користувач Premit поклади це, «Безпека — це найважливіша річ, яку не сприймають серйозно в криптопросторі».
Примітка редактора: цю статтю було оновлено після публікації, щоб уточнити, що хакери зберегли 18 викрадених NFT і продали 302 наразі, згідно з Certik.
Хочете стати експертом з криптовалют? Отримуйте найкращі можливості Decrypt прямо у свою папку "Вхідні".
Отримуйте найбільші новини про криптовалюту + щотижневі звіти та багато іншого!
Джерело: https://decrypt.co/105385/300-nfts-stolen-400k-in-ethereum-taken-in-premint-hack
