В неделя хакери проникнаха в популярната платформа за регистрация на NFT Premint и се отърваха с 320 откраднати NFT и повече от $400,000 XNUMX печалба в едно от най-големите подобни хакове тази година.
Според анализ на фирма за сигурност на блокчейн CertiK, хакерите компрометираха уебсайта на Premint в неделя със зловреден JavaScript код. След това създадоха изскачащ прозорец в сайта, който подкани потребителите да потвърдят собствеността си върху портфейла, уж като допълнителна мярка за сигурност.
Множество потребители бързо разбраха, че изскачащият прозорец е нелегитимен и веднага се обърнаха към Twitter и Discord, за да предупредят другите да не следват инструкциите му. Въпреки това в рамките на няколко минути хакерите вече бяха измамили няколко клиенти на Premint.
Откраднатите NFT включват тези от популярни колекции Bored Ape Yacht Club, Otherside, Moonbirds Oddities и Goblintown. След като защитиха тези NFT, хакерите веднага започнаха да ги хвърлят на пазари като OpenSea; една открадната Bored Ape достигна цена от 89 ETH, или около $132,000 XNUMX.
В течение на неделя хакерите събраха 275 ETH, или малко над $400,000 302, чрез продажбата на 18 откраднати NFT. Хакерите досега са запазили XNUMX непродадени NFT, според Certik.
След това хакерите изпратиха средствата на Tornado Cash, услуга, която обединява депозитите в криптовалута на много потребители и ги смесва, като ефективно заличава дигиталната следа, която обикновено оставят транзакциите в блокчейн. Смесващи услуги като Tornado Cash често се използват от киберпрестъпници за „почистване“ на открадната криптовалута.
Вчера Premint се обърна към Twitter, за да потвърди хака и да увери потребителите, че по-голямата част от акаунтите не са засегнати от хака. „Благодарение на невероятните предупреждения за разпространение на web3 общността, сравнително малък брой потребители се поддадоха на това“, компанията Споделено в Twitter.
Някои потребители на Premint обаче отбелязват, че хакнатият сайт е бил оставен около 10 часа, след като хакери са проникнали за първи път в него рано в неделя. Други оплакаха загубата на техните цифрови активи и попитаха дали Premint ще възстанови на тези акаунти стойността на откраднатите NFT.
Оттогава Premint започна да натрупва данни за всички NFT, откраднати при хакването. Компанията отказа да отговори Разкодирай на записа.
Може би по ирония на съдбата, в дните, водещи до хакването, компанията планираше да обяви нова функция за сигурност: възможността за влизане в Premint чрез Twitter или Discord, метод, който ще позволи на потребителите да имат достъп до сайта, без да въвеждат данни за портфейла директно . Всеки клиент на Premint, използващ такъв метод за влизане, би бил защитен от вчерашния хак.
Функцията обаче все още не беше пусната. След събитията в неделя, ръководството на Premint реши да пусне функцията няколко дни по-рано от очакваното:
Хакването е само най-новата измама, насочена към пазара на NFT, който само миналата година генерира 25 милиарда долара продажби. През февруари фишинг измама на OpenSea откраднаха NFT на стойност над 1.7 милиона долара. През април хакване на акаунта в Instagram на Bored Ape Yacht Club доведе до кражба на NFT на стойност 2.8 милиона долара. Миналия месец, актьорът Сет Грийн плати почти $300,000 XNUMX, за да възстанови откраднат Bored Ape NFT той планираше да направи централната част на предстоящ телевизионен сериал.
Въпреки огромното количество капитал, преминаващ през NFT пространството, сигурността на тези активи – особено когато са свързани с централизирани фирми като Premint – остава постоянен проблем.
Като един потребител на Premit сложи го, „Сигурността е най-голямото нещо, което не се взема сериозно [ly] в крипто пространството.“
Бележка на редактора: Тази статия беше актуализирана след публикуването, за да се изясни, че хакерите са запазили 18 откраднати NFT и са продали 302 досега, според Certik.
Искате ли да бъдете крипто експерт? Вземете най-доброто от Decrypt направо във входящата си кутия.
Вземете най-големите крипто новини + седмични обзори и още!
Източник: https://decrypt.co/105385/300-nfts-stolen-400k-in-ethereum-taken-in-premint-hack
