Pühapäeval tungisid häkkerid populaarsesse NFT registreerimisplatvormi Premint ja teenisid selle aasta ühe suurima häkkimise käigus ära 320 varastatud NFT-d ja rohkem kui 400,000 XNUMX dollari kasumit.
Vastavalt plokiahela turvafirma analüüsile CertiK, ohustasid häkkerid pühapäeval Preminti veebisaiti pahatahtliku JavaScripti koodiga. Seejärel lõid nad saidil hüpikakna, mis ajendas kasutajaid näiliselt täiendava turvameetmena kinnitama oma rahakoti omandiõigust.
Mitu kasutajat mõistis kiiresti, et hüpikaken oli ebaseaduslik, ja võtsid kohe Twitteri ja Discordi, et hoiatada teisi selle juhiseid mitte järgima. Sellegipoolest olid häkkerid mõne minuti jooksul juba mitu Preminti klienti petnud.
Varastatud NFT-d hõlmasid populaarsete kollektsioonide Bored Ape Yacht Club, Otherside, Moonbirds Oddities ja Goblintown tooteid. Pärast nende NFT-de turvamist hakkasid häkkerid neid kohe ümber pöörama sellistel turgudel nagu OpenSea; üks varastatud Bored Ape hind oli 89 ETH ehk umbes 132,000 XNUMX dollarit.
Pühapäeva jooksul kogusid häkkerid 275 ETH-d ehk veidi üle 400,000 302 dollari, müües 18 varastatud NFT-d. Certiku andmetel on häkkerid seni säilitanud XNUMX müümata NFT-d.
Seejärel saatsid häkkerid raha Tornado Cashile, teenusele, mis koondab paljude kasutajate krüptovaluutadeposiidid ja segab neid, pühkides tõhusalt ära digitaalse jälje, mille tavaliselt jätavad plokiahela tehingud. Segamisteenused nagu Tornado Cash neid kasutavad sageli küberkurjategijad varastatud krüptovaluuta "puhastamiseks".
Eile astus Premint Twitterisse, et häkkimist tunnistada ja kasutajatele kinnitada, et häkkimine ei mõjutanud enamikku kontosid. "Tänu uskumatule veebi3 kogukonnale, mis levitab hoiatusi, langes sellesse suhteliselt väike arv kasutajaid," ütles ettevõte. tweeted.
Mõned Preminti kasutajad märkisid aga, et häkitud sait jäeti umbes 10 tunniks üles pärast seda, kui häkkerid sinna pühapäeva varahommikul sisse tungisid. Teised hädaldasid oma digitaalsete varade kaotamist ja küsisid, kas Premint tagastab neile kontodele varastatud NFT-de väärtuse.
Premint on sellest ajast alates hakanud koguma andmeid kõigi häkkimise käigus varastatud NFT-de kohta. Ettevõte keeldus sellele vastamast Avaldage lahti plaadil.
Võib-olla irooniline on see, et häkkimisele eelnenud päevadel plaanis ettevõte välja kuulutada uue turvafunktsiooni: võimaluse logida Premintisse Twitteri või Discordi kaudu, meetod, mis võimaldab kasutajatel pääseda saidile juurde ilma rahakoti andmeid otse sisestamata. . Iga sellist sisselogimismeetodit kasutav Preminti klient oleks eilse häkkimise eest kaitstud.
Seda funktsiooni polnud aga veel välja antud. Pärast pühapäevaseid sündmusi otsustas Preminti juhtkond käivitada funktsiooni oodatust paar päeva varem:
Häkkimine on ainult viimane pettus, mis on suunatud NFT turule, mis ainuüksi eelmisel aastal teenis 25 miljardit dollarit. Veebruaris andmepüügipettus OpenSeas varastas üle 1.7 miljoni dollari väärtuses NFT-sid. Aprillis Bored Ape Jahtklubi instagrami konto häkkimine põhjustas 2.8 miljoni dollari suuruse NFT varguse. Eelmisel kuul näitleja Seth Green maksis varastatud Bored Ape NFT kättesaamiseks peaaegu 300,000 XNUMX dollarit ta kavatses teha tulevase telesarja keskpunkti.
Vaatamata tohutule kapitalile, mis NFT ruumi läbib, on nende varade turvalisus – eriti kui need on ühendatud tsentraliseeritud ettevõtetega nagu Premint – endiselt püsivaks probleemiks.
Ühe Premiti kasutajana pane see, "Turvalisus on krüptoruumis suurim asi, mida [tõsiselt] ei võeta."
Toimetaja märkus: seda artiklit värskendati pärast avaldamist, et selgitada, et Certiku andmetel on häkkerid säilitanud 18 varastatud NFT-d ja müünud seni 302.
Tahad olla krüptoekspert? Hankige Decrypt parimad võimalused otse oma postkasti.
Hankige suurimaid krüptouudiseid + iganädalasi kokkuvõtteid ja palju muud!
Allikas: https://decrypt.co/105385/300-nfts-stolen-400k-in-ethereum-taken-in-premint-hack
