เมื่อวันอาทิตย์ที่ผ่านมา แฮกเกอร์ได้แทรกซึมแพลตฟอร์มการลงทะเบียน NFT ยอดนิยม Premint และกำจัด NFT ที่ถูกขโมยไป 320 รายการ และกำไรมากกว่า 400,000 ดอลลาร์ในหนึ่งในการแฮ็กที่ใหญ่ที่สุดในปีนี้
จากการวิเคราะห์โดยบริษัทรักษาความปลอดภัยบล็อคเชน CertiKแฮกเกอร์โจมตีเว็บไซต์ Premint เมื่อวันอาทิตย์ด้วยโค้ด JavaScript ที่เป็นอันตราย จากนั้นพวกเขาจึงสร้างป๊อปอัปภายในไซต์ที่แจ้งให้ผู้ใช้ยืนยันความเป็นเจ้าของกระเป๋าเงิน ซึ่งเห็นได้ชัดว่าเป็นมาตรการรักษาความปลอดภัยเพิ่มเติม
ผู้ใช้หลายคนตระหนักได้อย่างรวดเร็วว่าป๊อปอัปนั้นผิดกฎหมายและรีบไปที่ Twitter และ Discord เพื่อเตือนผู้อื่นไม่ให้ปฏิบัติตามคำแนะนำ อย่างไรก็ตาม ภายในไม่กี่นาที แฮกเกอร์ได้หลอกลูกค้า Premint หลายรายแล้ว
NFT ที่ถูกขโมยรวมถึง NFTs จากคอลเลกชั่นยอดนิยม Bored Ape Yacht Club, Otherside, Moonbirds Oddities และ Goblintown หลังจากรักษาความปลอดภัย NFT เหล่านี้แล้ว แฮ็กเกอร์ก็เริ่มพลิกแพลงในตลาดเช่น OpenSea ทันที หนึ่งที่ถูกขโมย Bored Ape จับราคา 89 ETH หรือประมาณ 132,000 เหรียญ
ในช่วงวันอาทิตย์ แฮกเกอร์ได้รวบรวม 275 ETH หรือเพียง 400,000 ดอลลาร์ จากการขาย NFT ที่ถูกขโมยไป 302 รายการ แฮ็กเกอร์ได้เก็บ NFT ที่ยังไม่ได้ขายไว้ 18 รายการตามรายงานของ Certik
จากนั้นแฮ็กเกอร์จึงส่งเงินไปยัง Tornado Cash ซึ่งเป็นบริการที่รวมเงินฝาก cryptocurrency ของผู้ใช้จำนวนมากและผสมเข้าด้วยกัน กำจัดร่องรอยทางดิจิทัลที่ปกติทิ้งไว้โดยการทำธุรกรรมบล็อคเชนอย่างมีประสิทธิภาพ บริการผสมเช่น Tornado Cash มักถูกใช้โดยอาชญากรไซเบอร์ เพื่อ "ล้าง" cryptocurrency ที่ถูกขโมย
เมื่อวานนี้ Premint ใช้ Twitter เพื่อรับทราบการแฮ็กและรับรองผู้ใช้ว่าบัญชีส่วนใหญ่ไม่ได้รับผลกระทบจากการแฮ็ก “ต้องขอบคุณชุมชน web3 ที่น่าเหลือเชื่อที่เผยแพร่คำเตือน ผู้ใช้จำนวนค่อนข้างน้อยที่ตกหลุมรักสิ่งนี้” บริษัท ทวีต.
ผู้ใช้ Premint บางคนตั้งข้อสังเกตว่าไซต์ที่ถูกแฮ็กถูกทิ้งไว้ประมาณ 10 ชั่วโมงหลังจากที่แฮ็กเกอร์แทรกซึมเข้าไปในไซต์ครั้งแรกในวันอาทิตย์ คนอื่นๆ คร่ำครวญถึงการสูญเสียทรัพย์สินดิจิทัลของพวกเขาและถามว่า Premint จะคืนเงินให้กับบัญชีเหล่านี้ตามมูลค่าของ NFT ที่ขโมยมาหรือไม่
Premint ได้เริ่มรวบรวมข้อมูลเกี่ยวกับ NFT ทั้งหมดที่ถูกขโมยจากการแฮก บริษัทปฏิเสธที่จะตอบกลับ ถอดรหัส ในบันทึก
อาจมีแดกดันในวันที่นำไปสู่การแฮ็ก บริษัท ได้วางแผนที่จะประกาศคุณสมบัติความปลอดภัยใหม่: ความสามารถในการเข้าสู่ระบบ Premint ผ่าน Twitter หรือ Discord ซึ่งเป็นวิธีการที่จะอนุญาตให้ผู้ใช้เข้าถึงไซต์โดยไม่ต้องป้อนรายละเอียดกระเป๋าเงินโดยตรง . ลูกค้า Premint ที่ใช้วิธีเข้าสู่ระบบดังกล่าวจะได้รับการปกป้องจากการแฮ็กของเมื่อวาน
อย่างไรก็ตามคุณลักษณะนี้ยังไม่ได้รับการเผยแพร่ หลังจากเหตุการณ์ในวันอาทิตย์ ผู้นำของ Premint ได้ตัดสินใจเปิดตัวคุณลักษณะนี้เร็วกว่าที่คาดการณ์ไว้สองสามวัน:
การแฮ็กเป็นเพียงกลลวงล่าสุดที่กำหนดเป้าหมายไปที่ตลาด NFT ซึ่งในปีที่แล้วเพียงปีเดียวสร้างยอดขายได้ 25 พันล้านดอลลาร์ ในเดือนกุมภาพันธ์ กลลวงฟิชชิ่งบน OpenSea ขโมย NFTs มูลค่ากว่า 1.7 ล้านเหรียญ. ในเดือนเมษายน แฮ็คบัญชีอินสตาแกรมของ Bored Ape Yacht Club นำไปสู่การขโมย NFT มูลค่า 2.8 ล้านดอลลาร์. เดือนที่แล้ว นักแสดง Seth Green จ่ายเงินเกือบ 300,000 เหรียญเพื่อกู้คืน Bored Ape NFT เขากำลังวางแผนที่จะทำให้หัวใจของซีรีส์ทางโทรทัศน์ที่กำลังจะมีขึ้น
แม้จะมีเงินทุนจำนวนมากไหลผ่านพื้นที่ NFT แต่ความปลอดภัยของทรัพย์สินเหล่านี้—โดยเฉพาะอย่างยิ่งเมื่อเชื่อมต่อกับบริษัทที่รวมศูนย์อย่าง Premint—ยังคงเป็นปัญหาที่ยั่งยืน
ในฐานะผู้ใช้ Premit คนหนึ่ง วางไว้, “การรักษาความปลอดภัยเป็นสิ่งที่ยิ่งใหญ่ที่สุดที่ไม่จริงจัง [ly] ในพื้นที่ crypto”
หมายเหตุบรรณาธิการ: บทความนี้ได้รับการอัปเดตหลังจากการตีพิมพ์เพื่อชี้แจงว่าแฮกเกอร์ได้เก็บ NFT ที่ถูกขโมยไป 18 รายการและขายได้ 302 รายการจนถึงปัจจุบัน
ต้องการเป็นผู้เชี่ยวชาญการเข้ารหัสลับหรือไม่? รับสิ่งที่ดีที่สุดของการถอดรหัสตรงไปยังกล่องจดหมายของคุณ
รับข่าว crypto ที่ใหญ่ที่สุด + สรุปรายสัปดาห์และอีกมากมาย!
ที่มา: https://decrypt.co/105385/300-nfts-stolen-400k-in-ethereum-taken-in-premint-hack
