ตามข้อมูลด้านความปลอดภัยที่ CertiK ให้มา เว็บไซต์ Premint ซึ่งเป็นแพลตฟอร์มรายการอนุญาตพิเศษของ NFT ที่มีชื่อเสียง ถูกบุกรุกในวันอาทิตย์ ความเสียหายที่เกิดจากการโจมตีเชื่อว่ามีมูลค่าประมาณ 375,000 ดอลลาร์
Premint ถูกโจมตี
หนึ่งในการละเมิดโทเค็น non-fungible มากที่สุดแห่งปี ส่งผลให้ลูกค้าแพลตฟอร์ม Premint NFT ขโมยข้อมูลบล็อคเชนอย่างน้อย 314 รายการ รวมเป็นเงินประมาณ 375,000 ดอลลาร์
ตามที่บริษัทรักษาความปลอดภัยของ crypto CertiK ปัญหาเริ่มต้นด้วยการฉีด JavaScript ที่เป็นอันตรายและ Wallet ที่ได้รับผลกระทบที่เก็บ NFTs เช่น Bored Ape Yacht Club และ Oddities Premint ทวีตว่าผู้ใช้ที่ได้รับผลกระทบได้รับป๊อปอัปขอให้ยืนยันความเป็นเจ้าของ Wallet ของพวกเขา ผู้ใช้เว็บไซต์สามารถลงทะเบียนเพื่อรวมไว้ในฐานข้อมูลของผู้ซื้อโครงการ NFT ใหม่ในอนาคต
We are actively working to get a full list of wallets that had assets taken from them.
— PREMINT | NFT Access List Tool (@PREMINT_NFT) July 17, 2022
These are the wallets that Etherscan have flagged for stealing assets.
-https://t.co/l3yEk2tUDs
- https://t.co/wdo7sJMia1
- https://t.co/8bBEgpKupN
- https://t.co/iY4tna437S
ข้อความดังกล่าวยังชักชวนให้ผู้ใช้เปิดใช้งานคุณสมบัติ “SetApprovalForAll” ใน Wallet ของพวกเขา ทำให้แฮกเกอร์สามารถขโมยเงินจากบัญชีของพวกเขาได้ Premint อ้างว่ามีผู้ใช้เพียง “ค่อนข้างน้อย” เท่านั้นที่ถูกหลอกโดยพรอมต์ไวและมีความปลอดภัยเพิ่มขึ้น
SetApprovalForAll จัดทำขึ้นเพื่อให้ผู้ใช้แพลตฟอร์มการเงินแบบกระจายอำนาจยินยอมในทันทีเพื่อโอนโทเค็นเฉพาะที่ได้รับเลือกล่วงหน้าโดยสัญญาอัจฉริยะพื้นฐานในภายหลัง ผู้คุกคามใช้ประโยชน์จากคุณลักษณะนี้เพื่อโอนโทเค็นทั้งหมดที่เป็นของผู้ใช้รายอื่นไปยัง Wallet ของตนเอง
แฮ็คถูกปิดอย่างมีประสิทธิภาพแล้ว และ PREMINT ได้อัปเดตเว็บไซต์ของพวกเขาตั้งแต่เขียนบทความนี้
ขณะนี้ผู้ใช้สามารถกลับเข้าสู่แพลตฟอร์มโดยใช้บัญชี Twitter หรือ Discord แทนกระเป๋าสตางค์ ตามการอัปเดตที่ปักหมุดไว้ที่เว็บไซต์โดย PREMINT วิธีนี้ปลอดภัยและสะดวกกว่ามาก โดยเฉพาะบนอุปกรณ์พกพา
มาตรการด้านความปลอดภัย
คำเตือนถูกโพสต์บน Twitter ก่อนหน้านี้โดยทีม Permit โดยบอกผู้ใช้ให้เพิกถอนการเข้าถึง Wallet ของพวกเขาหากพวกเขาคิดว่า Wallet ของพวกเขาถูกแฮ็กจากการแฮ็กและไม่อนุมัติธุรกรรมใด ๆ ที่ขอให้พวกเขา “ตั้งค่าการอนุมัติสำหรับทุกคน” สำหรับการแก้ไข เว็บไซต์ถูกออฟไลน์ชั่วคราว
แพลตฟอร์มปิดเว็บไซต์ชั่วครู่และแนะนำให้ปิดการใช้งานคุณสมบัติ “ตั้งค่าการอนุมัติสำหรับทุกคน” โดยใช้ Revoke Cash หรือ Etherscan และย้ายทรัพย์สินใด ๆ ไปยัง Wallet อื่น ด้วยการใช้แบบฟอร์มรายงานเหตุการณ์ ธุรกิจกำลังรวบรวมรายการของที่ถูกขโมยและใช้เพื่อติดตามที่อยู่ของพวกเขา
เว็บไซต์เปิดดำเนินการอยู่ในขณะที่เขียนบทความนี้ ผู้ใช้ไม่ต้องเช็คอินเว็บไซต์โดยใช้ Wallet อีกต่อไปด้วยการอัปเดต Premint ขณะนี้ผู้ใช้สามารถกลับเข้าสู่แพลตฟอร์มโดยใช้บัญชี Twitter หรือ Discord แทนกระเป๋าสตางค์ ปลอดภัยและใช้งานได้จริงมากขึ้น โดยเฉพาะบนมือถือ
นอกจากนี้ PREMINT แจ้งชุมชนของตนว่าพวกเขากำลังพยายามกู้คืน Wallet ของผู้ใช้ที่ได้รับผลกระทบและทรัพย์สินที่ถูกขโมยไป “เรากำลังทำงานร่วมกันอย่างแข็งขันเพื่อรับรายชื่อ Wallet ทั้งหมดที่ขโมยทรัพย์สินไป”
จำนวนการแฮ็ก NFT เพิ่มขึ้นอย่างมากตั้งแต่ปีที่แล้ว โดย PREMINT เป็นเหยื่อรายล่าสุด ก่อนหน้านี้ในวันศุกร์ แฮ็กเกอร์กำหนดเป้าหมายบัญชี Twitter ของ NFT Artist DeeKay ตามรายงานการโจมตีทำให้เกิดการสูญเสีย NFT 150,000 เหรียญ
การระมัดระวังเป็นพิเศษในขณะที่อนุมัติธุรกรรมใดๆ มีความสำคัญมากกว่าที่เคยเนื่องจากการหลอกลวง NFT ที่เพิ่มขึ้น
ที่มา : bitcoinist
