Noong Linggo, pinasok ng mga hacker ang sikat na platform ng pagpaparehistro ng NFT na Premint at inalis ang 320 ninakaw na NFT at higit sa $400,000 ang kita sa isa sa pinakamalaking naturang mga hack sa taong ito.
Ayon sa pagsusuri ng blockchain security firm CertiK, nakompromiso ng mga hacker ang website ng Premint noong Linggo gamit ang malisyosong JavaScript code. Pagkatapos ay gumawa sila ng pop-up sa loob ng site na nag-udyok sa mga user na i-verify ang kanilang pagmamay-ari ng wallet, na tila isang karagdagang hakbang sa seguridad.
Mabilis na napagtanto ng maraming mga gumagamit na ang pop-up ay hindi lehitimo at agad na pumunta sa Twitter at Discord upang balaan ang iba na huwag sundin ang mga tagubilin nito. Gayunpaman, sa loob ng ilang minuto, nalinlang na ng mga hacker ang ilang mga customer ng Premint.
Kasama sa mga ninakaw na NFT ang mga mula sa mga sikat na koleksyon ng Bored Ape Yacht Club, Otherside, Moonbirds Oddities, at Goblintown. Matapos ma-secure ang mga NFT na ito, sinimulan agad ng mga hacker na i-flip ang mga ito sa mga marketplace tulad ng OpenSea; isang ninakaw ang Bored Ape nakakuha ng presyong 89 ETH, o humigit-kumulang $132,000.
Sa paglipas ng Linggo, nakolekta ng mga hacker ang 275 ETH, o mahigit $400,000 lamang, sa pamamagitan ng pagbebenta ng 302 ninakaw na NFT. Ang mga hacker sa ngayon ay nagpapanatili ng 18 hindi nabentang NFT, ayon kay Certik.
Pagkatapos ay ipinadala ng mga hacker ang mga pondo sa Tornado Cash, isang serbisyo na pinagsasama-sama ang mga deposito ng cryptocurrency ng maraming user at pinaghalo ang mga ito, na epektibong pinuputol ang digital trail na karaniwang iniiwan ng mga transaksyon sa blockchain. Mga serbisyo ng paghahalo tulad ng Tornado Cash ay madalas na ginagamit ng mga cybercriminal upang "linisin" ang ninakaw na cryptocurrency.
Kahapon, pumunta si Premint sa Twitter upang kilalanin ang hack at tiyakin sa mga user na ang karamihan sa mga account ay hindi naapektuhan ng hack. "Salamat sa hindi kapani-paniwalang web3 na komunidad na nagkakalat ng mga babala, medyo maliit na bilang ng mga gumagamit ang nahulog para dito," ang kumpanya tweeted.
Ang ilang mga gumagamit ng Premint ay nabanggit, gayunpaman, na ang na-hack na site ay naiwan nang humigit-kumulang 10 oras matapos itong unang mapasok ng mga hacker noong unang bahagi ng Linggo. Ang iba ay nalungkot sa pagkawala ng kanilang mga digital na asset at nagtanong kung ibabalik ng Premint sa mga account na ito ang halaga ng mga ninakaw na NFT.
Nagsimula nang mag-ipon ng data si Premint sa lahat ng NFT na ninakaw sa hack. Tumangging tumugon ang kumpanya I-decrypt sa talaan.
Marahil sa kabalintunaan, sa mga araw na humahantong sa pag-hack, ang kumpanya ay nagplano na mag-anunsyo ng isang bagong tampok sa seguridad: ang kakayahang mag-log in sa Premint sa pamamagitan ng Twitter o Discord, isang paraan na magpapahintulot sa mga user na ma-access ang site nang hindi direktang ipinapasok ang mga detalye ng wallet . Ang sinumang Premint na customer na gumagamit ng ganoong paraan ng pag-login ay protektado sana mula sa pag-hack kahapon.
Ang tampok ay hindi pa inilabas, gayunpaman. Pagkatapos ng mga kaganapan noong Linggo, nagpasya ang pamunuan ng Premint na ilunsad ang feature ilang araw nang mas maaga kaysa sa inaasahan:
Ang hack ay lamang ang pinakabagong scam upang i-target ang NFT market, na noong nakaraang taon lamang ay nakabuo ng $25 bilyon sa mga benta. Noong Pebrero, isang phishing scam sa OpenSea ninakaw ang mahigit $1.7 milyong halaga ng mga NFT. Noong Abril, isang hack ng instagram account ng Bored Ape Yacht Club humantong sa isang $2.8 milyong NFT na pagnanakaw. Noong nakaraang buwan, ang aktor na si Seth Green nagbayad ng halos $300,000 para mabawi ang isang ninakaw na Bored Ape NFT balak niyang gawing sentro ng isang paparating na serye sa telebisyon.
Sa kabila ng malaking halaga ng kapital na dumadaloy sa espasyo ng NFT, ang seguridad ng mga asset na ito—lalo na kapag konektado sa mga sentralisadong kumpanya tulad ng Premint—ay nananatiling isang pangmatagalang isyu.
Bilang isang Premit user ilagay mo, “Ang seguridad ay ang pinakamalaking bagay na hindi sineseryoso sa espasyo ng crypto.”
Tala ng editor: Ang artikulong ito ay na-update pagkatapos ng publikasyon upang linawin na ang mga hacker ay nagpapanatili ng 18 ninakaw na NFT at nagbebenta ng 302 sa ngayon, ayon kay Certik.
Gusto mo bang maging eksperto sa crypto? Kunin ang pinakamahusay sa Decrypt nang diretso sa iyong inbox.
Kunin ang pinakamalaking kwento ng balita sa crypto + lingguhang pag-ikot at higit pa!
Pinagmulan: https://decrypt.co/105385/300-nfts-stolen-400k-in-ethereum-taken-in-premint-hack
