300+ NFT Dicuri, $400K dalam Ethereum Diambil Dalam Peretasan Premint

Pada hari Ahad, penggodam menyusup masuk ke platform pendaftaran NFT yang popular Premint dan menghilangkan 320 NFT yang dicuri dan lebih daripada $400,000 dalam keuntungan dalam salah satu penggodaman terbesar tahun ini.

Menurut analisis oleh firma keselamatan blockchain sijil, penggodam telah menjejaskan tapak web Premint pada hari Ahad dengan kod JavaScript yang berniat jahat. Mereka kemudian mencipta pop timbul dalam tapak yang menggesa pengguna untuk mengesahkan pemilikan dompet mereka, seolah-olah sebagai langkah keselamatan tambahan.

Berbilang pengguna dengan cepat menyedari pop timbul itu tidak sah dan segera mengambil Twitter dan Discord untuk memberi amaran kepada orang lain supaya tidak mengikut arahannya. Walaupun begitu, dalam beberapa minit, penggodam telah menipu beberapa pelanggan Premint.

?PSA SEGERA ?
Premint telah terjejas. JANGAN sahkan sebarang transaksi, ia akan menguras dompet anda pic.twitter.com/PJnz30Nfqn
— Cryptovalley | Amassing.eth (@SpiritAzuki) Julai 17, 2022

NFT yang dicuri termasuk koleksi popular Bored Ape Yacht Club, Otherside, Moonbirds Oddities dan Goblintown. Selepas mendapatkan NFT ini, penggodam serta-merta mula membalikkannya di pasaran seperti OpenSea; satu beruk Bosan dicuri memperoleh harga 89 ETH, atau sekitar $132,000.

Sepanjang Ahad, penggodam mengumpul 275 ETH, atau hanya lebih $400,000, melalui penjualan 302 NFT yang dicuri. Penggodam setakat ini telah mengekalkan 18 NFT yang tidak terjual, menurut Certik.

Penggodam kemudiannya menghantar dana kepada Tornado Cash, perkhidmatan yang mengumpulkan deposit mata wang kripto ramai pengguna dan mencampurkannya, dengan berkesan menghapuskan jejak digital yang biasanya ditinggalkan oleh urus niaga blockchain. Perkhidmatan pencampuran seperti Tornado Cash sering digunakan oleh penjenayah siber untuk "membersihkan" mata wang kripto yang dicuri.

Semalam, Premint menggunakan Twitter untuk mengakui penggodaman itu dan memberi jaminan kepada pengguna bahawa majoriti akaun tidak terjejas oleh penggodaman itu. "Terima kasih kepada komuniti web3 yang luar biasa menyebarkan amaran, sebilangan kecil pengguna jatuh untuk ini," syarikat itu tweeted.

Malam tadi, satu fail telah dimanipulasi pada PREMINT oleh pihak ketiga yang tidak dikenali yang menyebabkan pengguna diberikan sambungan dompet yang berniat jahat.
— PREMINT | Alat Senarai Akses NFT (@PREMINT_NFT) Julai 17, 2022

Sesetengah pengguna Premint menyatakan, bagaimanapun, bahawa tapak yang digodam itu dibiarkan selama kira-kira 10 jam selepas penggodam mula-mula menyusup masuk awal Ahad. Yang lain meratapi kehilangan aset digital mereka dan bertanya sama ada Premint akan membayar balik akaun ini nilai NFT yang dicuri.

Kena tipu / kecik sebab saya bodoh dan percayakan awak. Sila pastikan anda membantu / membayar balik orang yang mempercayai anda.
— nummer1.eth || 9311.eth (@the_nftgoat) Julai 17, 2022

Adakah pampasan akan dibayar? Ramai orang nak tahu!
— minakoch (@minakochenhe) Julai 17, 2022

Premint telah mula mengumpul data pada semua NFT yang dicuri dalam penggodaman. Syarikat itu enggan menjawab Decrypt dalam rekod.

Mungkin ironinya, pada hari-hari sebelum penggodaman, syarikat itu telah merancang untuk mengumumkan ciri keselamatan baharu: keupayaan untuk log masuk ke Premint melalui Twitter atau Discord, kaedah yang membolehkan pengguna mengakses tapak tanpa memasukkan butiran dompet secara langsung . Mana-mana pelanggan Premint yang menggunakan kaedah log masuk sedemikian akan dilindungi daripada godam semalam.

Walau bagaimanapun, ciri itu belum dikeluarkan lagi. Selepas acara Ahad, kepimpinan Premint memutuskan untuk melancarkan ciri tersebut beberapa hari lebih awal daripada yang dijangkakan:

Sedang merancang untuk mengumumkannya lewat minggu ini, tetapi memandangkan apa yang berlaku, mahu melancarkannya secepat mungkin. https://t.co/GcyYLxWLNM
— BrendΞn Mulligan | PREMINT (@mulligan) Julai 18, 2022

Godam itu hanyalah penipuan terbaharu untuk menyasarkan pasaran NFT, yang tahun lepas sahaja menjana $25 bilion dalam jualan. Pada bulan Februari, penipuan pancingan data di OpenSea mencuri NFT bernilai lebih $1.7 juta. Pada bulan April, satu penggodaman akaun instagram Kelab Kapal Yacht Bosan membawa kepada kecurian $2.8 juta NFT. Bulan lepas, pelakon Seth Green membayar hampir $300,000 untuk mendapatkan semula NFT Bored Ape yang dicuri dia merancang untuk menjadikan bahagian tengah siri televisyen yang akan datang.

Walaupun jumlah modal yang besar mengalir melalui ruang NFT, keselamatan aset ini—terutama apabila disambungkan kepada firma berpusat seperti Premint—kekal menjadi isu yang berkekalan.

Sebagai satu pengguna Premit letakkannya, "Keselamatan adalah perkara terbesar yang tidak diambil serius dalam ruang crypto."

Nota editor: Artikel ini dikemas kini selepas penerbitan untuk menjelaskan bahawa penggodam telah mengekalkan 18 NFT yang dicuri dan menjual 302 setakat ini, menurut Certik.

Ingin menjadi pakar kripto? Dapatkan yang terbaik daripada Nyahsulit terus ke peti masuk anda.

Dapatkan berita crypto terbesar + pusingan mingguan dan banyak lagi!

Sumber: https://decrypt.co/105385/300-nfts-stolen-400k-in-ethereum-taken-in-premint-hack