7?月?17日,據慢霧區情報反饋,Premint遭遇黑客攻擊。慢霧安全團隊在第一時間進行分析和預警。
本文來自慢霧區伙伴ScamSniffer的投稿,具體分析如下:
攻擊細節
打開任意Premint項目頁面,可以看到有個cdn.min.js注入到了頁面中,看調用棧該js是由(https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js)注入,目前該s3-redwood-labs-premint-xyz.com域名已經停止解析,無法正常訪問了。
Web3和AI數據庫平臺EdgeIn正以800萬美元估值進行150萬美元Pre-Seed輪融資:8月4日消息,Web3和AI數據庫平臺EdgeIn正以800萬美元的公司估值進行150萬美元Pre-Seed輪融資,目前已經籌集到40萬美元,天使投資人包括Mike Dinsdale(Akkadian Ventures、DocuSign、DoorDash、Gusto)、Mike Borozdin(DocuSign、Google)、Jeremy Clover(Circle)、Pedram Amini、Bayo Okusanya和Ulises Merino Nú?ez。
EdgeIn旨在進一步提升Web3公司、資金、組織管理和其他數據的透明度,目前已對超過90%的Web3市場融資和公司信息進行了索引,并已列出約50,000個Web3公司和項目。[2023/8/5 16:19:44]
查詢Whois,該域名在2022-07-16注冊于TucowsDomainsInc:
DeepRedSky宣布接受BTC、SOL、DOGE來購買 NFT:金色財經報道,Solana NFT市場DeepRedSky宣布接受比特幣 (BTC)、Solana ( SOL) 和 Dogecoin (DOGE) 來購買 NFT,并計劃在今年夏天添加以太坊 (ETH) 和其他加密貨幣。[2022/5/26 3:42:22]
打開virustotal.com可以看到該域名之前曾解析到CloudFlare:
打開源代碼可以看到boomerang.min.js是Premint用到的一個UI庫:
預言機項目LithiumFinance將幫助Injective為pre-IPO股票衍生品提供定價數據:去中心化預言機項目LithiumFinance宣布與去中心化衍生品交易協議InjectiveProtocol達成合作,Lithium將成為Injective預言機模塊的一部分,來為pre-IPO股票衍生品提供定價數據。作為智慧求知者(WisdomSeeker),Injective用戶可以利用Lithium的定價數據為私人和pre-IPO公司或其他合成資產創建新的衍生品市場。[2021/7/5 0:27:06]
該js是在s3-redwood-labs.premint.xyz域名下,猜測:
動態 | 預測市場服務公司Prediction Labs為Augur推出即時結算服務:據The Block消息,預測市場服務公司Prediction Labs為區塊鏈預測市場應用Augur推出即時結算服務STLD Exchange。Augur用戶可借助該服務直接將其代幣轉換為DAI。[2019/10/24]
上傳文件接口有漏洞可以上傳任意文件到任意Path
黑客拿到了他們這個AmazonS3的權限,從而可以注入惡意代碼
這個第三方庫被供應鏈攻擊污染了
把boomerang.min.js代碼下載下來,前面都是正常的代碼,但是末尾有一段經過加密的代碼:
BitSpread的創始人兼首席執行官認為 比特幣價格波動會越來越大:比特幣交易平臺BitSpread的創始人兼首席執行官Cedric Jeanson也表示,比特幣市場因缺乏流動性,投資者在2018年會見證比特幣價格“越來越大”的波動。[2018/1/5]
這段代碼負責把代碼s3-redwood-labs-premint-xyz.com/cdn.min.js注入到頁面。
惡意代碼cdn.min.js
根據代碼內容,可以大致看到有通過調用dappradar.com的接口來查詢用戶的NFT資產列表。
如果用戶持有相關NFT資產:
惡意代碼會以Two-stepwallet驗證的借口,發起setApprovalForAll讓用戶授權給他們后端接口返回的地址。
如果用戶點了Approve,攻擊者還會調用監測代碼通知自己有人點擊了:
如果當用戶地址沒有NFT資產時,它還會嘗試直接發起轉移錢包里的ETH的資產請求:
另外這種代碼變量名加密成_0xd289_0x開頭的方式,我們曾經在play-otherside.org,thesaudisnfts.xyz這些釣魚網站也見到過。
根據用戶資產發起setApprovalForAll或者直接轉移ETH,并且阻止用戶使用開發者工具debug。
預防方式
那么作為普通用戶如何預防?現階段MetaMask對ERC721的setApprovalForAll的風險提示,遠沒有ERC20的Approve做得好。
即使很多新用戶無法感知到這個行為的風險,但我們作為普通用戶看到帶Approve之類的交易一定要仔細打開授權給相關地址,看看這些地址最近的交易是否異常,避免誤授權!
這種攻擊和上次Etherscan上Coinzilla利用廣告注入惡意的攻擊方式挺相似的,那么在技術上有沒有可能預防?
理論上如果已知一些惡意js代碼的行為和特征:
比如說代碼的加密方式
惡意代碼關鍵特征
代碼會反debug
會調用opensea,debank,dappradar等API查詢用戶資產
根據這些惡意代碼的行為特征庫,那么我們可以嘗試在客戶端網頁發起交易前,檢測頁面有沒有包含已知惡意特征的代碼來探測風險,或者直接更簡單一點,對常見的網站設立白名單機制,不是交易類網站發起授權,給到足夠的風險提醒等。
接下來ScamSniffer和慢霧安全團隊也會嘗試探索一下如何在客戶端來預防此類的攻擊發生!
Ps.感謝作者ScamSniffer的精彩分析!
Tags:PREMINREDREMNew Frontier Presents郭家毅gemini多高BORED價格MY Ceremonial Event
21:00-7:00關鍵詞:Twitter、野村證券、Crypto.com、Chain、MakerDAO1.趙長鵬:Twitter價格可能略高.
1900/1/1 0:00:00互聯網極大推動了思想和文化的傳播速度。深諳網絡效應之道的公司更有可能獲得競爭優勢,鞏固市場競爭地位,并突出重圍,成為行業領導者。互聯網創業者要取得成功,網絡效應也是必不可少的要素.
1900/1/1 0:00:001.音樂NFT概述 1.1行業概覽 國內音樂行業市場在去年隨著疫情過去和短視頻平臺興起有所回暖,由中國傳媒大學撰寫的《2021年中國音樂人報告》顯示.
1900/1/1 0:00:00前言 美國司法部再次彰顯了其實力強大與監管的有效性,首次對加密貨幣行業的內幕交易進行了抓捕,披露的Coinbase前員工內幕交易全文有如電影大片,可能又會成為網飛的電影題材.
1900/1/1 0:00:001.金色觀察|Vitalik最新演講解析以太坊路線圖五階段每年一度的歐洲最大的以太坊會議ETHCC7月19日-21日在巴黎舉行.
1900/1/1 0:00:00近期Rug?Pull事件頻發,針對今日及昨日發生的四起Rug?Pull事件,CertiK安全團隊將分別從項目的操作及合約等方面為大家解讀并分析.
1900/1/1 0:00:00