I søndags infiltrerede hackere den populære NFT-registreringsplatform Premint og slap væk med 320 stjålne NFT'er og mere end $400,000 i overskud i et af de største sådanne hacks i år.
Ifølge analyse fra blockchain-sikkerhedsfirmaet CertiK, kompromitterede hackerne Premint-webstedet i søndags med ondsindet JavaScript-kode. De oprettede derefter en pop-up på webstedet, der fik brugerne til at bekræfte deres tegnebogsejerskab, tilsyneladende som en ekstra sikkerhedsforanstaltning.
Flere brugere indså hurtigt, at pop-up'et var illegitimt og tog straks til Twitter og Discord for at advare andre om ikke at følge instruktionerne. Alligevel havde hackerne inden for få minutter allerede narret adskillige Premint-kunder.
De stjålne NFT'er omfattede dem fra populære samlinger Bored Ape Yacht Club, Otherside, Moonbirds Oddities og Goblintown. Efter at have sikret disse NFT'er, begyndte hackerne straks at vende dem på markedspladser som OpenSea; en stjålet Bored Ape fik en pris på 89 ETH, eller omkring $132,000.
I løbet af søndagen indsamlede hackerne 275 ETH, eller lidt over $400,000, gennem salg af 302 stjålne NFT'er. Hackerne har indtil videre beholdt 18 usolgte NFT'er, ifølge Certik.
Hackerne sendte derefter midlerne til Tornado Cash, en tjeneste, der samler mange brugeres kryptovalutaindskud og blander dem, hvilket effektivt udsletter det digitale spor, der typisk efterlades af blockchain-transaktioner. Blandingstjenester som Tornado Cash bruges ofte af cyberkriminelle at "rense" stjålet kryptovaluta.
I går tog Premint til Twitter for at anerkende hacket og forsikre brugerne om, at størstedelen af konti var upåvirket af hacket. "Takket være det utrolige web3-fællesskab, der spreder advarsler, faldt et relativt lille antal brugere for dette," virksomheden Tweetet.
Nogle Premint-brugere bemærkede dog, at det hackede websted blev forladt i cirka 10 timer, efter at hackere først infiltrerede det tidligt søndag. Andre beklagede tabet af deres digitale aktiver og spurgte, om Premint ville refundere disse konti værdien af de stjålne NFT'er.
Premint er siden begyndt at akkumulere data om alle NFT'er stjålet i hacket. Virksomheden afviste at svare på Dekryptér på posten.
Måske ironisk nok havde virksomheden i dagene op til hacket planlagt at annoncere en ny sikkerhedsfunktion: muligheden for at logge ind på Premint via Twitter eller Discord, en metode, der ville give brugere adgang til webstedet uden at indtaste tegnebogsoplysninger direkte . Enhver Premint-kunde, der bruger en sådan login-metode, ville være blevet beskyttet mod gårsdagens hack.
Funktionen var dog ikke udgivet endnu. Efter søndagens begivenheder besluttede Premints ledelse at udrulle funktionen et par dage tidligere end forventet:
Hacket er kun den seneste fidus til at målrette mod NFT-markedet, som alene sidste år genererede 25 milliarder dollars i salg. I februar et phishing-svindel på OpenSea stjal over $1.7 millioner i NFT'er. I april blev et hack af Bored Ape Yacht Clubs instagramkonto førte til et NFT-tyveri på $2.8 millioner. Sidste måned, skuespiller Seth Green betalt næsten $300,000 for at genvinde en stjålet Bored Ape NFT han planlagde at gøre midtpunktet i en kommende tv-serie.
På trods af den enorme mængde kapital, der flyder gennem NFT-området, er sikkerheden af disse aktiver - især når de er forbundet til centraliserede firmaer som Premint - et vedvarende problem.
Som én Premit-bruger Læg det, "Sikkerhed er den største ting, der ikke tages alvorligt i kryptoområdet."
Redaktørens note: Denne artikel blev opdateret efter offentliggørelsen for at præcisere, at hackerne har beholdt 18 stjålne NFT'er og solgt 302 indtil videre, ifølge Certik.
Vil du være kryptoekspert? Få det bedste fra Decrypt direkte til din indbakke.
Få de største kryptonyhedshistorier + ugentlige roundups og mere!
Kilde: https://decrypt.co/105385/300-nfts-stolen-400k-in-ethereum-taken-in-premint-hack
