freedmanclub.com
В воскресенье, хакер взломал официальный сайт платформы NFT под названием Premint, чтобы украсть NFT на общую сумму в 375 000 долларов.
По данным охранной фирмы CertiK, хакер в внедрил вредоносный фрагмент кода JavaScript на premint.xyz, предписывая пользователям подписывать вредоносные транзакции через всплывающее окно кошелька. В общей сложности, шесть пользователей подписали код, что дало хакеру полный контроль над расходованием средств.
«Прошлой ночью неизвестный сторонний манипулировал файлом в PREMINT, что привело к тому, что пользователям было представлено вредоносное подключение к кошельку», — заявила команда Premint.
Прежде чем эксплойт был обнаружен, хакер смог украсть 314 различных NFT. К ним относятся NFT из таких коллекций, как Bored Ape Yacht Club, Otherside, Moonbirds Oddities и Goblintown.
Украденные активы были проданы за 270 ETH (375 000 долларов США) около 07:30 утра по восточному времени в воскресенье. Хакер перевел вырученные средства на адрес и перенаправил их через Tornado Cash, популярный миксер транзакций в сети Ethereum.
Эксплойт продолжает растущую тенденцию использования хакерами уязвимостей в традиционной веб-инфраструктуре для выполнения эксплойтов безопасности в проектах web3.
В прошлом месяце хакеры использовали веб-сайты децентрализованных финансовых проектов Ribbon Finance и Convex Finance для проведения фишинговых атак. В других случаях серверы Discord, учетные записи Twitter и Instagram использовались для распространения фишинговых ссылок, направленных на кражу криптовалюты и NFT.
«Из этого становится ясно, что экосистема web3 должна учитывать взаимосвязь с технологиями web2, особенно в тех случаях, когда ее зависимость от них становится уязвимостью», — сказал представитель CertiK.
Автор: Антон Зайцев, аналитик Freedman Сlub Crypto News