以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

MINT:PREMINT攻擊事件全解析

Author:

Time:1900/1/1 0:00:00

作者:Go+Security?

7月17日16:00(UTC+8),premint.xyz遭遇黑客攻擊,部分用戶的NFT失竊。攻擊事件發生后,GoPlus安全分析師迅速對其進行了全面解析,并從普通投資者和開發者兩個角度給出了安全建議。

攻擊過程

攻擊者通過在premint.xyz網站中通過植入惡意的JS腳本進行攻擊,當用戶進行常規操作時,執行惡意代碼,欺騙用戶對授權操作setApprovalForAll(address,bool)的交易進行簽名。騙取到授權后,盜取用戶的NFT等資產。

攻擊原理

當用戶訪問https://www.premint.xyz/時,網站將加載如下js資源文件https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js。

Hal Press:USDC最終或將完全重新錨定:3月11日消息,對沖基金North Rock Digital CEO Hal Press發推分析表示,Circle在1到4個月的國庫券中持有77%的儲備金,為USDC提供了0.77的下限;Circle的總損失預計最多相當于USDC的0.8%到1.5%;因此已經選擇在0.88美金繼續買入,此前已在0.935美金的價格買入;USDC最終很可能會完全重新錨定。[2023/3/11 12:56:59]

此文件被黑客注入了一個script腳本,該腳本加載了另一個托管在屬于黑客的假域名中的攻擊腳本文件https://s3-redwood-labs-premint-xyz.com/cdn.min.js?v=1658050292559。此腳本含有騙取用戶授權的交互。

當用戶進行常規的Verifyingyourwalletonwership簽名操作時,此腳本將被觸發,將原有的驗證簽名代替為一筆授權攻擊者可轉移用戶高價值NFT的交易。一旦次交易被簽,資產將會失竊。

Web3游戲平臺InGame Sports完成超100萬美元pre-seed輪融資:9月27日消息,Web3游戲平臺InGame Sports宣布完成超100萬美元pre-seed輪融資,Openner領投,Sports Rader和一些天使投資人參投。該公司將利用這筆資金推出基于Web3技術的基礎設施及附加組建,后續將區塊鏈技術整合到旗下足球手游中,同時拓展多個海外國家/地區市場。(innovation-village)[2022/9/27 22:32:31]

防不勝防

本次攻擊對于普通用戶來說,可能是最不好對付、最容易中招的。

攻擊的全部C端交互都在Premint的官方網站中,首先就很容易讓大家放松警惕,因為大家總是默認官方網站是沒有任何問題的。

騙取交易簽名的過程發生在正常操作的簽名驗證過程中,由于多數用戶不會去看錢包的簽名詳情,所以攻擊過程極為隱蔽。

zCloak Network完成580萬美元pre-Series A輪融資,Coinbase Ventures領投:6月17日消息,零知識證明初創公司 zCloak Network 完成 580 萬美元?pre-Series A 輪融資,Coinbase Ventures 領投,Bixin Ventures、Matrixport Ventures、DFG、Sancus Ventures、KuCoin Ventures、Sanctor Capital、Hash Global 和 Jump Capital 等參投。該筆融資將用于擴大 zCloak Network 與身份數據證明者、Web3 應用程序和其他區塊鏈網絡的合作伙伴關系。 (The Block)[2022/6/17 4:34:28]

漏洞在哪里

大家可能會奇怪,為什么Premint的官方網站還會出現攻擊代碼,這是因為托管的S3上的js資源文件被黑客侵入遭到篡改。

Findora與旅行預訂平臺Travel USA Express達成合作:金融隱私公鏈Findora宣布與旅行預訂平臺Travel USA Express達成合作,希望通過合作將去中心化金融網絡擴展到旅游領域。Findora的零知識證明將被整合到其預訂和支付系統中,為Travel USA Express和National Park Express的服務提供支持。[2021/3/5 18:17:45]

至于為什么會被入侵,根據現有的資料,我們懷疑是S3配置出現錯誤,導致了Bucket未授權訪問,使得攻擊者可以隨意列出、讀取或者寫入S3bucket,從而對js資源文件進行篡改。

整個過程中最為令人不解的是,黑客的攻擊行為在17日16:00(UTC+8)就被發現,但直到17日22:00(UTC+8)之前,Premint官方依然沒有對被攻擊的js文件進行歸正,boomerang.min.js文件中仍然包含被黑客注入的惡意script,頁面載入時仍然會去加載黑客的攻擊腳本文件,只是這段惡意script本身已經無法訪問了。這種狀態維持了6個小時,很難判斷如果此時該腳本復活,會不會引發更大的損失。

啟示

啟示1:作為普通投資者我們該怎么辦?如果官網都不可靠了,如何避免上當受騙?

本次攻擊對于很多不了解技術的用戶來說,基本可以說是“初見殺”,百分百中招,畢竟誰也不會無端懷疑官網有詐。但仔細想想,所有鏈上的交易都必須通過錢包的簽名,所以只要注意簽名內容還是可以識別出其中風險的。

很多區塊鏈用戶都有個非常不好的習慣,只要操作進入到錢包中,除了調gas的過程,其他步驟都是下意識操作。實際上簽名前的確認信息包含著大量關鍵內容,GoPlusSecurity建議大家進行任何簽名操作前都必須仔細確認。

以此次攻擊為例。當用戶對Premint進行簽名驗證時,由于只是進行信息驗證,沒有任何上鏈的必要,所以發起的SignatureRequest應只包含Origin信息,用戶的地址,Nounce信息,可能有一些附加返回信息。如下圖:

但對于被注入攻擊后遭到篡改的交易簽名,由于須要將交易上鏈,交易將會以合約調用的形式呈現出更多的信息。例如在一個使用setApprovalForAll的NFT授權中,會顯示出這筆交易是在哪進行的,調用了什么方法,授權對象是誰,消耗多少ETH。

回過頭來,我們根據網友貢獻的截圖可見,Permint被注入攻擊后,雖然操作提示的是驗證簽名,但是實際拉錢包簽名的交易完全是上鏈的setApprovalForAll,完全與上圖相符,稍加觀察就能知道此處是有問題的。

實際上,合約各類調用、轉ETH、轉Token等,在錢包中簽名信息都是不同的,所有投資者都應該了解其中的差異,以免遭到此類攻擊時產生損失。在此GoPlusSecurity非常建議大家再親自模擬一下操作過程,了解各種不同的簽名信息,一旦學會看簽名信息,你將基本上規避掉幾乎所有釣魚、注入、欺詐攻擊。

不要懶惰,想要保證自己的安全,學習是唯一的途徑。

啟示2:作為開發者我們該怎么辦?如何避免被注入攻擊?

此次攻擊對于開發者最大的啟示在于,web3.0世界既然無法脫離web2.0獨立存在,那就必然會承受和web2.0一樣的攻擊方式。僅僅在合約層面保障自己的安全是不夠的,所有傳統的安全準備一樣都不能落下,任何一個小的疏忽都可能造成重大損失。

另外,遇到此類問題后應馬上修復或者隔離,倘若存在僥幸心理,沒有第一時間處理風險源,被安全分析師扒皮嘲諷是小事;萬一攻擊手段還可用,損失可是會持續產生的,這可是大事。

Tags:PRERESMINMINTPayexpressJoint VenturesMINIONS幣MintMe.com Coin

幣安app官網下載
區塊鏈:央財鄧建鵬:中國虛擬貨幣監管“一刀切”的合法合理性思考 應該如何優化

作者:鄧建鵬 來源:吳說區塊鏈 金融科技是技術驅動的金融創新,旨在運用現代科技成果改造或創新金融產品、經營模式、業務流程。金融科技領域顛覆性創新與系統性風險并存,給金融監管帶來挑戰.

1900/1/1 0:00:00
Synapse:跨鏈流動性協議 Synapse 將推出 Optimistic Rollup「Synapse Chain」和發布 Synapse V2

鏈捕手消息,跨鏈流動性協議Synapse宣布將推出基于以太坊的OptimisticRollup「SynapseChain」,通過利用Synapse的通用跨鏈消息傳遞系統和代幣橋.

1900/1/1 0:00:00
VIT:Vitalik 韓國區塊鏈周發言:加密貨幣在未來十年需證明自身的實際效用,ZK 最終會擊敗 OP

作者:深潮TechFlow最近,以太坊創始人VitalikButerin到了韓國參加韓國區塊鏈周的活動,在一次非公開的活動,他表達了對以太坊的未來持樂觀態度,但他認為未來會有很大的挑戰.

1900/1/1 0:00:00
區塊鏈:第 8 章:元宇宙

元宇宙是虛擬增強的物理現實和物理持久的虛擬空間的融合,允許用戶體驗它。這個詞在1992年的科幻小說《雪崩》中首次出現,由前綴“meta”和詞根“verse”組成.

1900/1/1 0:00:00
Foresight Ventures:「合久必分」模塊化區塊鏈與數據可用性層

作者:msfew,ForesightVentures Rollup的瓶頸 如果你讀了上一篇我所寫的Rollup的文章,那么很可能會發現在Optimistic和zkRollup的終局對比部分.

1900/1/1 0:00:00
MOON:去中心化云游戲協議 Portalverse Network 完成數百萬美元種子輪融資

鏈捕手消息,由NEAR生態及Web3基礎設施章魚網絡深度孵化,總部位于新加坡的去中心化云游戲元宇宙網絡PortalverseNetwork宣布完成數百萬美元種子輪融資.

1900/1/1 0:00:00
ads