7?月?17 日,據慢霧區情報反饋,Premint 遭遇黑客攻擊。慢霧安全團隊在第一時間進行分析和預警。
本文來自慢霧區伙伴 Scam Sniffer 的投稿,具體分析如下:
攻擊細節
打開任意 Premint 項目頁面,可以看到有個 cdn.min.js 注入到了頁面中,看調用棧該 js 是由 [boomerang.min.js](https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js) 注入,目前該 s3-redwood-labs-premint-xyz.com 域名已經停止解析,無法正常訪問了。
WordPress旗下電商插件WooCommerce已支持Binance Pay:5月20日消息,WordPress 旗下電商插件 WooCommerce 新增對 Binance Pay 的支持,商家可以注冊 Binance Pay 商戶賬戶后添加 Binance Pay WooCommerce 插件來支持 Binance Pay 的法幣和加密貨幣支付。[2023/5/20 15:15:41]
查詢 Whois,該域名在 2022-07-16 注冊于 Tucows Domains Inc:
打開 virustotal.com 可以看到該域名之前曾解析到 CloudFlare:
加密稅收自動化平臺Cryptiony完成50萬歐元pre-seed融資:1月10日消息,總部位于倫敦的加密納稅服務公司Cryptiony完成50萬歐元pre-seed融資,ff Venture Capital和Pointer Capital領投,web3天使投資人Marcin Wenus參投。該公司計劃利用pre-seed資金將市場擴展到擁有420多萬加密用戶的英國。
Cryptiony致力于為個人、交易員和稅務專業人士提供了一個加密稅收自動化平臺。通過API直接鏈接到交易所并提取相關數據,該平臺可以自動創建符合復雜稅法的完整納稅義務報告。[2023/1/10 11:04:37]
打開源代碼可以看到 boomerang.min.js 是 Premint 用到的一個 UI 庫:
元宇宙引擎公司VS·work完成數千萬人民幣pre-A輪融資:4月27日消息,元宇宙引擎公司VS·work近日宣布完成pre-A輪數千萬人民幣融資,領投方為金雨茂物投資管理。具體金額未披露,資金將主要用于市場推廣與產品迭代。此外,VS·work的新一輪融資也即將啟動。據了解,VS·work已開發出針對不同線下場景實現替代的虛擬空間及協作工具,為打造一個虛擬宇宙進行準備。在具體業務上,VS·work定位為虛擬空間提供方,對客戶的服務主要在于虛擬空間租賃。(同花順)[2022/4/27 5:14:13]
該 js 是在 s3-redwood-labs.premint.xyz 域名下,猜測:
上傳文件接口有漏洞可以上傳任意文件到任意 Path (比較常見的 Web 漏洞)
黑客拿到了他們這個 Amazon S3 的權限,從而可以注入惡意代碼
RSS3團隊于4月5日發布PreGod首個發行版本:4月5日消息,RSS3團隊于2022年4月5日發布PreGod的第一個發行版本,取代PreNode。PreGod是RSS3網絡的核心,同時也是RSS3協議v0.4.0與未來完全去中心化架構的實施基礎。
此前,RSS3網絡節點月請求量已超過一億次,隨著如Lens、Mirror、Taki、Permacast與CrossBell等去中心化創作協議的涌現以及IPFS與Arweave等去中心化存儲協議的成熟,作為去中心化聚合分發協議,RSS3將賦予Web 3中的創作真正的可互操作性Interoperability。[2022/4/5 14:05:23]
這個第三方庫被供應鏈攻擊污染了
把 boomerang.min.js 代碼下載下來,前面都是正常的代碼,但是末尾有一段經過加密的代碼:
SupreNFT與太空旅行項目EOS-X Space達成戰略合作:據官方消息,多元價值生態的NFT平臺SupreNFT宣布與迪拜政府支持的太空旅行項目EOS-X Space達成戰略合作。作為全球第四大商業載人太空旅行項目,EOS-X Space即將在2021年開啟首次載人試飛。此次合作中,SupreNFT將為EOS-X Space打造太空旅行NFT船票,購買SupreNFT鑄造的太空船票將獲得EOS-X Space的太空旅行機會。[2021/7/19 1:02:31]
這段代碼負責把代碼 s3-redwood-labs-premint-xyz.com/cdn.min.js 注入到頁面。
惡意代碼 cdn.min.js
根據代碼內容,可以大致看到有通過調用 dappradar.com 的接口來查詢用戶的 NFT 資產列表(此前我們也有看到惡意網站通過 Debank,Opensea 的 API 來查詢用戶資產等)。
如果用戶持有相關 NFT 資產:
惡意代碼會以 Two-step wallet 驗證的借口,發起 setApprovalForAll 讓用戶授權給他們后端接口返回的地址(攻擊者一般為了提高封禁成本,基本上會分流并且每個地址控制在 200 個交易內)。
如果用戶點了 Approve,攻擊者還會調用監測代碼通知自己有人點擊了:
如果當用戶地址沒有 NFT 資產時,它還會嘗試直接發起轉移錢包里的 ETH 的資產請求:
另外這種代碼變量名加密成 _0xd289 _0x 開頭的方式,我們曾經在 play-otherside.org,thesaudisnfts.xyz 這些釣魚網站也見到過。
根據用戶資產發起 setApprovalForAll 或者直接轉移 ETH,并且阻止用戶使用開發者工具 debug。
預防方式
那么作為普通用戶如何預防?現階段 MetaMask 對 ERC 721 的 setApprovalForAll 的風險提示,遠沒有 ERC20 的 Approve 做得好。
即使很多新用戶無法感知到這個行為的風險,但我們作為普通用戶看到帶 Approve 之類的交易一定要仔細打開授權給相關地址,看看這些地址最近的交易是否異常(比如清一色的 safeTransferFrom),避免誤授權!
這種攻擊和上次 Etherscan 上 Coinzilla 利用廣告注入惡意的攻擊方式挺相似的,那么在技術上有沒有可能預防?
理論上如果已知一些惡意 js 代碼的行為和特征:
比如說代碼的加密方式
惡意代碼關鍵特征
代碼會反 debug
會調用 opensea, debank, dappradar 等 API 查詢用戶資產
根據這些惡意代碼的行為特征庫,那么我們可以嘗試在客戶端網頁發起交易前,檢測頁面有沒有包含已知惡意特征的代碼來探測風險,或者直接更簡單一點,對常見的網站設立白名單機制,不是交易類網站發起授權,給到足夠的風險提醒等。
接下來 Scam Sniffer 和慢霧安全團隊也會嘗試探索一下如何在客戶端來預防此類的攻擊發生!
Ps. 感謝作者 Scam Sniffer 的精彩分析!
Tags:PREMINNFTINTPresident DogeethylenediaminetetraaceticacidNFTART價格point幣如何獲取
過去幾個月,加密行業遭受的打擊可謂史無前例:身家數十億美元的加密貨幣銀行面臨破產危機、最大的對沖基金通過拋售NFT來以應對清算、中心化加密機構面臨崩盤……但令人驚訝的是,在經歷了這場風暴之后.
1900/1/1 0:00:00加息公布后行情快速回升,前期已提示短線回調低吸機會,目前再次向上貼近下降壓制線和周線壓力區,上周反彈最高也是這一帶遇阻,后面有效突破,反彈空間將繼續拉大,壓力區間已下移至23500-24000.
1900/1/1 0:00:00原文作者:Dean Takahashi,由 DeFi 之道翻譯編輯。阿里安娜?辛普森(Arianna Simpson)是 Andreessen Horowitz(A16z)的普通合伙人,A16z.
1900/1/1 0:00:00在數碼圈子里存在著一批礦工,他們購買顯卡拿去進行算力挖礦,獲取以太坊區塊鏈上的出塊獎勵ETH。隨著2020年ETH價格上漲,礦工們為了獲取更多的利益,與游戲玩家爭搶顯卡產能,直接導致過去兩年時間.
1900/1/1 0:00:00全文 7050 字,預計閱讀時間 17 分鐘跨鏈橋的存在其實是基于對未來出現多鏈生態格局的核心假設,跨鏈橋存在意義在于推動資產以及信息在不同區塊鏈上流動.
1900/1/1 0:00:00作者:Chenglin Pua元宇宙在近一年多得到了人們的大量關注。許多耳熟聞詳的大公司都紛紛布局了元宇宙。國外的有微軟、Meta、谷歌、蘋果、英偉達等高科技公司.
1900/1/1 0:00:00