一名黑客入侵了一個名為Premint 的NFT 白名單平台的官方網站,竊取了價值375,000 美元的NFT。
一名黑客從Premint NFT 平台的用戶那裡偷走了375,000 美元
據安全公司CertiK 稱,一名黑帽黑客在premint.xyz 上註入了一段惡意JavaScript 代碼,指示用戶通過錢包彈出窗口簽署惡意交易。共有六個用戶簽署了代碼,讓黑客完全控制了資金的花費。
此問題僅影響在太平洋時間午夜之後通過此對話框連接錢包的用戶。
由於令人難以置信的web3 社區傳播警告,相對較少的用戶為此而墮落。
我們今早關閉了該網站以解決此問題。 pic.twitter.com/Wq9FyRtIMl
— 預知| NFT 訪問列表工具(@PREMINT_NFT) 2022 年7 月17 日
在發現漏洞之前,黑客能夠竊取314 個不同的NFT。其中包括來自Bored Ape Yacht Club、Otherside、Moonbirds Oddities 和Goblintown 等系列的NFT。
被盜資產以270 ETH(375,000 美元)的價格出售。黑客將收益轉移到該地址,並通過以太坊網絡上流行的交易混合器Tornado Cash 進行路由。
該漏洞利用延續了黑客利用傳統Web 基礎設施中的漏洞對web3項目進行安全漏洞利用的增長趨勢。
上個月,黑客利用去中心化金融項目Ribbon Finance 和Convex Finance 運營的網站執行網絡釣魚攻擊。在其他事件中,Discord 服務器、Twitter 和Instagram 帳戶已被利用來傳播網絡釣魚鏈接以竊取加密貨幣和NFT。
“從中可以清楚地看出,web3 生態系統需要考慮與web2 技術的互連,特別是在對它們的依賴成為漏洞的地方,”他們補充道。
資訊來源:由0x資訊編譯自AZCOINNEWS。版權歸作者Selena所有,未經許可,不得轉載