Mbi 300 NFT të vjedhura, 400 mijë dollarë në Ethereum të marra nga hakimi premint

Të dielën, hakerët depërtuan në platformën popullore të regjistrimit të NFT, Premint dhe u larguan me 320 NFT të vjedhura dhe më shumë se 400,000 dollarë fitim në një nga hakimet më të mëdha të këtij viti.

Sipas analizave nga firma e sigurisë blockchain Certifikata, hakerët komprometuan faqen e internetit të Premint të dielën me kod keqdashës JavaScript. Ata më pas krijuan një dritare kërcyese brenda faqes që i shtynte përdoruesit të verifikonin pronësinë e portofolit të tyre, gjoja si një masë sigurie shtesë.

Përdorues të shumtë e kuptuan shpejt që pop-up-i ishte i paligjshëm dhe menjëherë shkuan në Twitter dhe Discord për të paralajmëruar të tjerët që të mos ndiqnin udhëzimet e tij. Megjithatë, brenda pak minutash, hakerët kishin mashtruar tashmë disa klientë të Premint.

?PSA URGJENTE ?
Premint është komprometuar. MOS konfirmoni asnjë transaksion, kjo do t'ju thajë portofolin pic.twitter.com/PJnz30Nfqn
— Kriptolugina | Amassing.eth (@SpiritAzuki) Korrik 17, 2022

NFT-të e grabitura përfshinin ato nga koleksionet e njohura Bored Ape Yacht Club, Otherside, Moonbirds Oddities dhe Goblintown. Pas sigurimit të këtyre NFT-ve, hakerët filluan menjëherë t'i kthenin ato në tregje si OpenSea; një majmun i mërzitur i vjedhur mori një çmim prej 89 ETH, ose rreth 132,000 dollarë.

Gjatë së dielës, hakerët mblodhën 275 ETH, ose pak më shumë se 400,000 dollarë, përmes shitjes së 302 NFT-ve të vjedhura. Hakerët kanë mbajtur deri më tani 18 NFT të pashitura, sipas Certik.

Më pas hakerët i dërguan fondet në Tornado Cash, një shërbim që bashkon depozitat e kriptomonedhave të shumë përdoruesve dhe i përzien ato, duke fshirë në mënyrë efektive gjurmën dixhitale që zakonisht lihet nga transaksionet me blockchain. Përzierja e shërbimeve si Tornado Cash përdoren shpesh nga kriminelët kibernetikë për të "pastruar" kriptomonedhën e vjedhur.

Dje, Premint shkoi në Twitter për të pranuar hakimin dhe për të siguruar përdoruesit se shumica e llogarive nuk ishin prekur nga hakimi. "Falë paralajmërimeve të pabesueshme të përhapjes së komunitetit web3, një numër relativisht i vogël përdoruesish ranë për këtë," kompania tweeted.

Mbrëmë, një skedar u manipulua në PREMINT nga një palë e tretë e panjohur që çoi në paraqitjen e përdoruesve me një lidhje me portofolin që ishte me qëllim të keq.
— PREMINT | Mjeti i listës së qasjes NFT (@PREMINT_NFT) Korrik 17, 2022

Megjithatë, disa përdorues të Premint vunë në dukje se faqja e hakuar u la për rreth 10 orë pasi hakerët depërtuan për herë të parë në të të dielën herët. Të tjerë u ankuan për humbjen e aseteve të tyre dixhitale dhe pyetën nëse Premint do t'u kthente këtyre llogarive vlerën e NFT-ve të vjedhura.

U mashtrua / u thava sepse jam budalla dhe ju besoj. Ju lutemi sigurohuni që të ndihmoni/rimbursoni personat që kishin besim tek ju.
— numer1.eth || 9311.eth (@the_nftgoat) Korrik 17, 2022

A do të paguhet dëmshpërblimi? Shumë njerëz duan të dinë!
— minakoch (@minakochenhe) Korrik 17, 2022

Premint që atëherë ka filluar të grumbullojë të dhëna për të gjitha NFT-të e vjedhura në hak. Kompania nuk pranoi të përgjigjet decrypt në procesverbal.

Ndoshta për ironi, në ditët para hakimit, kompania kishte planifikuar të shpallte një veçori të re sigurie: aftësinë për t'u identifikuar në Premint përmes Twitter ose Discord, një metodë që do t'i lejonte përdoruesit të hynin në faqen pa futur drejtpërdrejt detajet e portofolit . Çdo klient Premint që përdor një metodë të tillë identifikimi do të ishte i mbrojtur nga hakimi i djeshëm.

Sidoqoftë, funksioni nuk ishte lëshuar ende. Pas ngjarjeve të së dielës, udhëheqja e Premint vendosi të hapë funksionin disa ditë më herët se sa ishte parashikuar:

Po planifikonte ta shpallte këtë më vonë këtë javë, por duke pasur parasysh atë që po ndodh, doja ta shpërndante sa më shpejt. https://t.co/GcyYLxWLNM
— BrendΞn Mulligan | PREMINT (@mulligan) Korrik 18, 2022

Hakimi është vetëm mashtrimi më i fundit për të synuar tregun NFT, i cili vetëm vitin e kaluar gjeneroi 25 miliardë dollarë në shitje. Në shkurt, një mashtrim phishing në OpenSea vodhi NFT me vlerë mbi 1.7 milionë dollarë. Në prill, një hak i llogarisë në instagram të Bored Ape Yacht Club çoi në një vjedhje prej 2.8 milionë dollarësh NFT. Muajin e kaluar, aktori Seth Green pagoi pothuajse 300,000 dollarë për të rimarrë një Bored Ape NFT të vjedhur ai po planifikonte të bënte pjesën qendrore të një serie televizive të ardhshme.

Pavarësisht sasisë së madhe të kapitalit që rrjedh nëpër hapësirën NFT, siguria e këtyre aseteve - veçanërisht kur lidhen me firma të centralizuara si Premint - mbetet një çështje e qëndrueshme.

Si një përdorues i Premit e vënë atë, “Siguria është gjëja më e madhe që nuk merret seriozisht në hapësirën e kriptove.”

Shënim i redaktorit: Ky artikull u përditësua pas publikimit për të sqaruar se hakerat kanë mbajtur 18 NFT të vjedhura dhe kanë shitur 302 deri më tani, sipas Certik.

Dëshironi të jeni ekspert i kriptove? Merrni më të mirën e Decrypt direkt në kutinë tuaj hyrëse.

Merr lajmet më të mëdha të kriptove + përmbledhjet javore dhe më shumë!

Burimi: https://decrypt.co/105385/300-nfts-stolen-400k-in-ethereum-taken-in-premint-hack