روز یکشنبه، هکرها به پلتفرم ثبت نام NFT محبوب Premint نفوذ کردند و با 320 NFT سرقت شده و بیش از 400,000 دلار سود در یکی از بزرگترین هکهای اینچنینی در سال جاری، از بین رفتند.
بر اساس تجزیه و تحلیل شرکت امنیت بلاک چین CertiK، هکرها وب سایت Premint را روز یکشنبه با کدهای مخرب جاوا اسکریپت در معرض خطر قرار دادند. آنها سپس یک پاپ آپ در سایت ایجاد کردند که کاربران را وادار کرد تا مالکیت کیف پول خود را تأیید کنند، ظاهراً به عنوان یک اقدام امنیتی اضافی.
چندین کاربر به سرعت متوجه شدند که این پاپ آپ غیرقانونی است و بلافاصله به توییتر و Discord رفتند تا به دیگران هشدار دهند که دستورالعمل های آن را دنبال نکنند. با این حال، در عرض چند دقیقه، هکرها قبلاً چندین مشتری Premint را فریب داده بودند.
NFT های دزدیده شده شامل مجموعه های محبوب Bored Ape Yacht Club، Otherside، Moonbirds Oddities و Goblintown بودند. پس از ایمن سازی این NFT ها، هکرها بلافاصله شروع به ورق زدن آنها در بازارهایی مانند OpenSea کردند. یکی Bored Ape دزدیده شده قیمت 89 ETH یا حدود 132,000 دلار را به دست آورد.
در طول روز یکشنبه، هکرها 275 ETH یا کمی بیش از 400,000 دلار را از طریق فروش 302 NFT سرقت شده جمع آوری کردند. به گفته Certik، هکرها تاکنون 18 NFT فروخته نشده را حفظ کرده اند.
سپس هکرها وجوه را به Tornado Cash فرستادند، سرویسی که سپردههای ارزهای دیجیتال بسیاری از کاربران را با هم ترکیب میکند و آنها را با هم ترکیب میکند و به طور موثر ردپای دیجیتالی را که معمولاً از تراکنشهای بلاک چین باقی میماند، از بین میبرد. ترکیب خدمات مانند تورنادو کش اغلب توسط مجرمان سایبری استفاده می شود برای "پاک کردن" ارزهای دیجیتال سرقت شده
دیروز، پرمینت در توییتر این هک را تصدیق کرد و به کاربران اطمینان داد که اکثر حسابها تحت تأثیر این هک قرار نگرفتهاند. این شرکت با تشکر از جامعه باورنکردنی وب 3 که هشدارها را منتشر می کند، تعداد نسبتا کمی از کاربران دچار این مشکل شدند. توییت.
با این حال، برخی از کاربران Premint خاطرنشان کردند که سایت هک شده تقریباً 10 ساعت پس از اینکه هکرها برای اولین بار در اوایل یکشنبه به آن نفوذ کردند، باقی ماند. دیگران از از دست دادن دارایی های دیجیتال خود ابراز تاسف کردند و پرسیدند که آیا پرمینت ارزش NFT های سرقت شده را به این حساب ها بازپرداخت خواهد کرد.
Premint از آن زمان شروع به جمع آوری داده ها در مورد تمام NFT های سرقت شده در هک کرده است. این شرکت از پاسخگویی خودداری کرد رمزگشایی کنید در رکورد.
شاید از قضا، در روزهای منتهی به هک، این شرکت برنامه ریزی کرده بود که یک ویژگی امنیتی جدید را اعلام کند: امکان ورود به Premint از طریق توییتر یا Discord، روشی که به کاربران امکان می دهد بدون وارد کردن مستقیم جزئیات کیف پول به سایت دسترسی داشته باشند. . هر مشتری Premint که از چنین روشی برای ورود استفاده می کند از هک دیروز محافظت می شود.
با این حال، این ویژگی هنوز منتشر نشده بود. پس از رویدادهای یکشنبه، رهبری Premint تصمیم گرفت این ویژگی را چند روز زودتر از زمان پیشبینی شده عرضه کند:
این هک تنها آخرین کلاهبرداری برای هدف قرار دادن بازار NFT است که تنها در سال گذشته 25 میلیارد دلار فروش داشته است. در فوریه، یک کلاهبرداری فیشینگ در OpenSea بیش از 1.7 میلیون دلار NFT به سرقت برد. در ماه آوریل، اکانت اینستاگرام Bored Ape Yacht Club هک شد منجر به سرقت 2.8 میلیون دلاری NFT شد. ماه گذشته، بازیگر ست گرین تقریباً 300,000 دلار برای بازیابی Bored Ape NFT سرقت شده پرداخت کرد او در حال برنامه ریزی برای ساختن محوریت یک سریال تلویزیونی آینده بود.
علیرغم حجم عظیم سرمایه ای که از طریق فضای NFT جریان دارد، امنیت این دارایی ها - به ویژه زمانی که به شرکت های متمرکزی مانند Premint متصل می شوند - همچنان یک مسئله پایدار است.
به عنوان یک کاربر Premit آن را بگذار"امنیت بزرگترین چیزی است که [به طور جدی] در فضای کریپتو جدی گرفته نمی شود."
یادداشت سردبیر: طبق گفته Certik، این مقاله پس از انتشار به روز شد تا روشن شود که هکرها 18 NFT سرقت شده را حفظ کرده و 302 مورد را تاکنون فروخته اند.
آیا می خواهید یک متخصص رمزنگاری باشید؟ بهترین رمزگشایی را مستقیماً در صندوق ورودی خود دریافت کنید.
بزرگترین خبرهای رمزنگاری + جمع بندی هفتگی و موارد دیگر را دریافت کنید!
منبع: https://decrypt.co/105385/300-nfts-stolen-400k-in-ethereum-taken-in-premint-hack
