В воскресенье хакер взломал официальный сайт платформы белого списка NFT под названием Premint, чтобы украсть NFT на сумму 375 000 долларов. По данным охранной фирмы CertiK, хакер внедрил вредоносный фрагмент кода JavaScript на premint.xyz, предписывая пользователям подписывать вредоносные транзакции через всплывающее окно кошелька. В общей сложности шесть пользователей подписали код, что дало хакеру полный контроль над расходованием их средств. «Прошлой ночью неизвестный сторонний манипулировал файлом в PREMINT, что привело к тому, что пользователям было представлено вредоносное подключение к кошельку», — заявила команда Premint. Прежде чем эксплойт был обнаружен, хакер смог украсть 314 различных NFT. К ним относятся NFT из таких коллекций, как Bored Ape Yacht Club, Otherside, Moonbirds Oddities и Goblintown. Украденные активы были проданы за 270 ETH (375 000 долларов США) около 07:30 утра по восточному времени в воскресенье. Хакер перевел вырученные средства на свой адрес и перенаправил их на Tornado Cash, популярный миксер транзакций в сети Ethereum. Эксплойт продолжает растущую тенденцию использования хакерами уязвимостей в традиционной веб-инфраструктуре для выполнения эксплойтов безопасности в проектах web3. В прошлом месяце хакеры использовали веб-сайты децентрализованных финансовых проектов Ribbon Finance и Convex Finance для проведения фишинговых атак. В других случаях серверы Discord, учетные записи соцсетей использовались для распространения фишинговых ссылок, направленных на кражу криптовалюты и NFT. «Из этого становится ясно, что экосистема web3 должна учитывать взаимосвязь с технологиями web2, особенно в тех случаях, когда ее зависимость от них становится уязвимостью», — сказал представитель CertiK.
Источник: