U nedjelju su se hakeri infiltrirali u popularnu platformu za registraciju NFT-a Premint i odnijeli 320 ukradenih NFT-ova i više od 400,000 dolara dobiti u jednom od najvećih takvih hakiranja ove godine.
Prema analizi sigurnosne tvrtke za blockchain Potvrda, hakeri su u nedjelju kompromitirali web stranicu Premint zlonamjernim JavaScript kodom. Zatim su stvorili skočni prozor unutar stranice koji je od korisnika tražio da potvrde vlasništvo nad novčanikom, navodno kao dodatnu sigurnosnu mjeru.
Više korisnika brzo je shvatilo da je skočni prozor nelegitiman i odmah su se obratili Twitteru i Discordu kako bi upozorili druge da ne slijede njegove upute. Čak i tako, u roku od nekoliko minuta, hakeri su već prevarili nekoliko kupaca Preminta.
Ukradeni NFT-ovi uključivali su one iz popularnih kolekcija Bored Ape Yacht Club, Otherside, Moonbirds Oddities i Goblintown. Nakon što su osigurali te NFT-ove, hakeri su ih odmah počeli bacati na tržišta poput OpenSea; jedan ukradeni Bored Ape postigao cijenu od 89 ETH, ili oko 132,000 USD.
Tijekom nedjelje hakeri su prikupili 275 ETH, ili nešto više od 400,000 302 dolara, prodajom 18 ukradena NFT-a. Prema Certiku, hakeri su do sada zadržali XNUMX neprodanih NFT-ova.
Hakeri su zatim poslali sredstva Tornado Cashu, servisu koji objedinjuje depozite u kriptovaluti mnogih korisnika i miješa ih, učinkovito brišući digitalni trag koji obično ostavljaju blockchain transakcije. Usluge miješanja kao što je Tornado Cash kibernetički kriminalci često koriste za “čišćenje” ukradene kriptovalute.
Jučer je Premint na Twitteru potvrdio hakiranje i uvjerio korisnike da hakiranje nije utjecalo na većinu računa. “Zahvaljujući nevjerojatnim upozorenjima web3 zajednice koja se šire, relativno mali broj korisnika nasjeo je na ovo”, tvrtka Tweetano.
Neki korisnici Preminta primijetili su, međutim, da je hakirana stranica bila otvorena otprilike 10 sati nakon što su se hakeri prvi put infiltrirali u nju u nedjelju rano ujutro. Drugi su žalili zbog gubitka svoje digitalne imovine i pitali hoće li Premint tim računima vratiti vrijednost ukradenih NFT-ova.
Premint je od tada počeo prikupljati podatke o svim NFT-ovima ukradenim u hakiranju. Tvrtka je odbila odgovoriti Dekodiranje na zapisnik.
Možda ironično, u danima koji su prethodili hakiranju, tvrtka je planirala najaviti novu sigurnosnu značajku: mogućnost prijave na Premint putem Twittera ili Discorda, metode koja bi korisnicima omogućila pristup stranici bez izravnog unosa podataka o novčaniku . Svaki korisnik Preminta koji koristi takvu metodu prijave bio bi zaštićen od jučerašnjeg hakiranja.
No značajka još nije bila objavljena. Nakon nedjeljnih događaja, vodstvo Preminta odlučilo je uvesti značajku nekoliko dana ranije nego što je bilo predviđeno:
Hakiranje je samo najnovija prijevara usmjerena na NFT tržište, koje je samo prošle godine ostvarilo 25 milijardi dolara prodaje. U veljači, phishing prijevara na OpenSea ukrao NFT-ove u vrijednosti od preko 1.7 milijuna dolara. U travnju, hakiranje instagram računa Bored Ape Yacht Cluba dovela je do krađe NFT-a od 2.8 milijuna dolara. Prošli mjesec, glumac Seth Green platio gotovo 300,000 dolara za povrat ukradenog Bored Ape NFT-a planirao je postati središnjim dijelom nadolazeće televizijske serije.
Unatoč ogromnoj količini kapitala koji teče kroz NFT prostor, sigurnost te imovine – posebno kada je povezana s centraliziranim tvrtkama poput Preminta – ostaje trajan problem.
Kao jedan Premit korisnik stavi, "Sigurnost je najveća stvar koja se ne shvaća ozbiljno[ly] u kripto prostoru."
Napomena urednika: Ovaj je članak ažuriran nakon objavljivanja kako bi se pojasnilo da su hakeri do sada zadržali 18 ukradenih NFT-ova i prodali 302, prema Certiku.
Želite biti kripto stručnjak? Dobijte najbolje od Decrypt izravno u svoju pristiglu poštu.
Dobijte najveće vijesti o kripto vijesti + tjedne preglede i još mnogo toga!
Izvor: https://decrypt.co/105385/300-nfts-stolen-400k-in-ethereum-taken-in-premint-hack
