Hacker đã xâm nhập vào nền tảng đăng ký NFT phổ biến và sử dụng một cửa sổ giả mạo để ép buộc người dùng cung cấp thông tin ví của họ.
Hacker đã xâm nhập vào nền tảng đăng ký NFT phổ biến Premint và kiếm được 320 NFT và hơn 400,000$, là một trong những vụ hack lớn nhất trong năm nay.
Theo phân tích của công ty bảo mật blockchain CertiK, tin tặc đã xâm nhập trang web Premint bằng mã JavaScript độc hại. Sau đó, họ đã tạo một cửa sổ giả mạo trong trang web nhắc người dùng xác minh quyền sở hữu ví của họ, nói rằng đó là một biện pháp bảo mật bổ sung.
Nhiều người dùng nhanh chóng nhận ra cửa sổ là giả mạo và ngay lập tức lên Twitter và Discord để cảnh báo những người khác không nên làm theo hướng dẫn của nó. Mặc dù vậy, trong vòng vài phút, các tin tặc đã lừa một số khách hàng của Premint.
🚨URGENT PSA 🚨
Premint has been compromised. Do NOT confirm any transactions, it will drain your wallet pic.twitter.com/PJnz30Nfqn— Cryptovalley | Amassing.eth (@SpiritAzuki) July 17, 2022
Các NFT bị đánh cắp bao gồm những NFT từ các bộ sưu tập nổi tiếng Bored Ape Yacht Club, Otherside, Moonbirds Oddities và Goblintown. Sau khi đánh cắp, các tin tặc ngay lập tức bắt đầu bán chúng trên các thị trường như OpenSea; một BAYC bị đánh cắp đã được bán với mức giá 89 ETH tương đương $132.000.
Các tin tặc đã thu thập được 275 ETH, tương đương hơn 400.000$ bán được từ doanh số của tất cả 320 NFT bị đánh cắp.
Sau đó, tin tặc đã gửi tiền đến Tornado Cash, một dịch vụ tập hợp các khoản tiền gửi tiền điện tử của nhiều người dùng lại với nhau và trộn lẫn chúng, xóa dấu vết trên blockchain. Các dịch vụ kết hợp như Tornado Cash thường xuyên được tội phạm mạng sử dụng để "làm sạch" tiền điện tử bị đánh cắp.
Hôm qua, Premint đã lên Twitter để thừa nhận vụ hack và đảm bảo với người dùng rằng phần lớn các tài khoản không bị ảnh hưởng bởi vụ hack. "Nhờ cộng đồng web3 đáng kinh ngạc lan truyền các cảnh báo, một số lượng tương đối nhỏ người dùng đã rơi vào tình trạng này," công ty đã tweet.
Last night, a file was manipulated on PREMINT by an unknown third party that led to users being presented with a wallet connection that was malicious.
— PREMINT | NFT Access List Tool (@PREMINT_NFT) July 17, 2022
Tuy nhiên, một số người dùng Premint cho rằng trang web bị tấn công trong khoảng 10 giờ nhưng không có quản trị viên thông báo. Những người dùng khác than vãn về việc mất tài sản kỹ thuật số của họ và hỏi liệu Premint có hoàn lại cho các tài khoản này giá trị của các NFT bị đánh cắp hay không?
Got scammed / drained because I’m stupid and trust you. Please make sure you help / refund people that had trust in you.
— nummer1.eth || 9311.eth (@the_nftgoat) July 17, 2022
Will the compensation be paid? Many people want to know!
— minakoch (@minakochenhe) July 17, 2022
Premint kể từ đó đã bắt đầu tích lũy dữ liệu về tất cả các NFT bị đánh cắp trong vụ hack.
Trong những ngày trước vụ hack, công ty đã lên kế hoạch công bố một tính năng bảo mật mới: khả năng đăng nhập vào Premint qua Twitter hoặc Discord, một phương pháp cho phép người dùng truy cập trang web mà không cần nhập trực tiếp chi tiết ví. Bất kỳ khách hàng nào của Premint sử dụng phương thức đăng nhập như vậy sẽ được bảo vệ khỏi vụ hack ngày hôm qua.
Tuy nhiên, tính năng này vẫn chưa được phát hành. Sau các sự kiện hack vừa rồi, ban lãnh đạo Premint đã quyết định triển khai tính năng này sớm hơn vài ngày so với dự đoán:
Starting today, you don’t need your wallet when logging back in to PREMINT.
Now, once you’ve connected your Twitter or Discord accounts to your wallet (https://t.co/rdjDd5qUcM), use them to log in to your account.
It’s safer and way more convenient. Especially on mobile! pic.twitter.com/BSSyzx7zkj
— PREMINT | NFT Access List Tool (@PREMINT_NFT) July 18, 2022
Vụ hack là trò lừa đảo mới nhất nhắm vào thị trường NFT, chỉ riêng năm ngoái những vụ hack đã cướp mất doanh thu 25 tỷ đô la. Vào tháng 02, một trò lừa đảo lừa đảo trên OpenSea đã đánh cắp NFT trị giá hơn 1,7 triệu đô la. Vào tháng 04, một vụ hack tài khoản Instagram của BAYC đã dẫn đến một vụ trộm NFT trị giá 2,8 triệu đô la. Tháng trước, nam diễn viên Seth Green đã trả gần 300,000$ để thu hồi NFT Bored Ape bị đánh cắp mà anh ấy đang lên kế hoạch làm trung tâm của một bộ phim truyền hình sắp tới.
Bất chấp lượng vốn khổng lồ chảy qua không gian NFT, tính bảo mật của những tài sản này — đặc biệt là khi được kết nối với các công ty tập trung như Premint vẫn là một vấn đề lâu dài.
Một người dùng Premit đã nói, "Bảo mật là điều lớn nhất không được coi trọng trong không gian tiền điện tử."