Украдени над 300 NFT, 400 долари во Ethereum земени при преминтен хакирање

Во неделата, хакерите се инфилтрираа во популарната платформа за регистрација на NFT, Premint и успеаја да извлечат 320 украдени NFT и повеќе од 400,000 долари профит во еден од најголемите такви хакирања оваа година.

Според анализата на фирмата за безбедност на блокчејн Сертификат, хакерите ја компромитираа веб-страницата на Преминт во неделата со злонамерен JavaScript код. Тие потоа создадоа скокачки прозорец во рамките на страницата што ги поттикна корисниците да ја потврдат сопственоста на нивниот паричник, наводно како дополнителна безбедносна мерка.

Повеќе корисници брзо сфатија дека скокачкиот прозорец е нелегитимен и веднаш се огласија на Twitter и Discord за да ги предупредат другите да не ги следат неговите упатства. И покрај тоа, за неколку минути, хакерите веќе измамиле неколку клиенти на Premint.

?ИТНО ПСА ?
Преминтот е компромитиран. НЕ потврдувајте никакви трансакции, тоа ќе ви го исцеди паричникот pic.twitter.com/PJnz30Nfqn
— Криптодолина | Amassing.eth (@SpiritAzuki) Јули 17, 2022

Ограбените NFT ги вклучуваа оние од популарните колекции Bored Ape Yacht Club, Otherside, Moonbirds Oddities и Goblintown. Откако ги обезбедија овие NFT, хакерите веднаш почнаа да ги превртуваат на пазари како OpenSea; еден украден Досаден мајмун постигна цена од 89 ETH, или околу 132,000 долари.

Во текот на неделата, хакерите собраа 275 ETH, или нешто повеќе од 400,000 долари, преку продажба на 302 украдени NFT. Хакерите досега задржале 18 непродадени NFT, според Certik.

Хакерите потоа ги испратија средствата до Торнадо Кеш, услуга која ги здружува депозитите на криптовалути на многу корисници и ги меша, ефикасно бришејќи ја дигиталната трага што обично ја оставаат трансакциите со блокчејн. Мешање услуги како Tornado Cash често се користат од сајбер-криминалците да се „исчисти“ украдената криптовалута.

Вчера, Преминт излезе на Твитер за да го признае хакирањето и да ги увери корисниците дека најголемиот дел од сметките не биле погодени од хакирањето. „Благодарение на неверојатните предупредувања за ширење на веб3 заедницата, релативно мал број корисници паднаа на ова“, компанијата Твитер.

Синоќа беше манипулирана датотека на PREMINT од непозната трета страна која доведе до тоа на корисниците да им биде претставена врска со паричник која била злонамерна.
— ПРЕМИНТ | Алатка за список за пристап NFT (@PREMINT_NFT) Јули 17, 2022

Сепак, некои корисници на Premint забележаа дека хакираната страница била оставена приближно 10 часа откако хакерите првпат се инфилтрирале во неа рано во неделата. Други жалеа поради загубата на нивните дигитални средства и прашаа дали Преминт ќе им ја врати на овие сметки вредноста на украдените NFT.

Бев измамен/исцеден затоа што сум глупав и ти верувам. Ве молиме погрижете се да им помогнете/рефундираат на луѓето кои имаа доверба во вас.
— nummer1.eth || 9311.eth (@the_nftgoat) Јули 17, 2022

Дали ќе се исплати обештетувањето? Многу луѓе сакаат да знаат!
— minakoch (@minakochenhe) Јули 17, 2022

Преминт оттогаш почна да акумулира податоци за сите NFT украдени при хакирањето. Компанијата одби да одговори на Дешифрирај на записот.

Можеби иронично, во деновите пред хакирањето, компанијата планираше да објави нова безбедносна карактеристика: можност за најавување на Premint преку Twitter или Discord, метод што ќе им овозможи на корисниците пристап до страницата без директно внесување детали за паричникот . Секој клиент на Premint што користи таков метод за најавување би бил заштитен од вчерашното хакирање.

Сепак, функцијата сè уште не беше објавена. По настаните во неделата, раководството на Premint одлучи да ја промовира функцијата неколку дена порано од предвиденото:

Планирав да го објавиме ова подоцна оваа недела, но со оглед на тоа што се случува, сакав да го објавиме што поскоро. https://t.co/GcyYLxWLNM
— BrendΞn Mulligan | ПРЕМИНТ (@mulligan) Јули 18, 2022

Хакирањето е само најновата измама насочена кон пазарот NFT, кој само минатата година генерира продажба од 25 милијарди долари. Во февруари, фишинг измама на OpenSea украл NFT вредни над 1.7 милиони долари. Во април, хакирање на сметката на Инстаграм на Bored Ape Yacht Club доведе до кражба на NFT од 2.8 милиони долари. Минатиот месец, актерот Сет Грин платил речиси 300,000 долари за да го врати украдениот Bored Ape NFT тој планираше да го направи централниот дел на претстојната телевизиска серија.

И покрај огромната количина на капитал што тече низ просторот NFT, безбедноста на овие средства - особено кога се поврзани со централизирани фирми како Premint - останува траен проблем.

Како еден корисник на Premit го стави„Безбедноста е најголемата работа што не се сфаќа сериозно во крипто просторот“.

Забелешка на уредникот: Оваа статија е ажурирана по објавувањето за да се разјасни дека хакерите задржале 18 украдени NFT и продале 302 досега, според Certik.

Сакате да бидете крипто експерт? Добијте го најдоброто од Decrypt директно во вашето сандаче.

Добијте ги најголемите крипто-вести + неделни прегледи и повеќе!

Извор: https://decrypt.co/105385/300-nfts-stolen-400k-in-ethereum-taken-in-premint-hack