Hackerlar Premint NFT Platformundan 375 bin Dolar Çaldı. Yılın en büyük Non Fungible Token (NFT) hack’lerinden birinin arkasındaki hackerlar, Premint NFT platform kullanıcılarından yaklaşık 375.000 dolar değerinde en az 314 blockchain girdisi çaldı.
Büyük Çaplı Bir Soygun
Kripto güvenlik şirketi CertiK, Information Security Media Group’a verdiği demeçte, Bored Ape Yacht Club ve Oddities dahil olmak üzere NFT’leri içeren cüzdanları etkileyen olayın kötü niyetli JavaScript uzantısı ile başladığını söyledi. Etkilenen kullanıcılar, cüzdan sahipliklerini doğrulamalarını isteyen bir açılır pencere gördü, Premint Pazar öğleden sonra tweet attı. Web sitesi, kullanıcıların yeni NFT projelerinin potansiyel alıcılarından oluşan bir veritabanına katılmalarını sağladı.
İsteme düşen kullanıcılar, cüzdanlarında bir “SetApprovalForAll” ayarını da kabul ederek bilgisayar korsanlarının cüzdanlarını boşaltmasına izin verdi. Premint, “nispeten az sayıda kullanıcının” istem için düştüğünü ve ek güvenlik sağladığını söylüyor.
SetApprovalForAll, merkezi olmayan finans platformu kullanıcılarının, temel bir akıllı sözleşme tarafından belirlenen belirli tokenlerin transferini gelecekte otomatik olarak onaylamasına izin verecek şekilde tasarlanmıştır. Bu işlev, diğer kullanıcıların tüm tokenlerini kendi cüzdanlarına aktarmak için onu kullanan tehdit aktörleri için bir nimettir. CertiK, olayı analiz eden bir blog yazısında, çalınan NFT’lerin toplamda 275 Ethereum kripto para birimi değerinde olduğunu ve 374.417,66 dolar tutarında olduğunu ve bu yılın en büyük NFT hack’lerinden biri olduğunu söyledi.
CertiK, saldırıya, harici olarak sahip olunan altı hesap veya ilgili özel anahtarlara sahip herkes tarafından kontrol edilebilen hesapların dahil olduğunu söylüyor. Şirket, ikisinin yakalandığını belirtti.
Şirketten Tavsiye Geldi
Platform geçici olarak sitesini kapattı ve herkes için onay ayarla işlevini iptal etmeyi ve tüm varlıkları ayrı bir cüzdana taşımayı önerdi. Şirket, bir olay raporu formu aracılığıyla nerede olduklarını takip etmek için çalınan varlıkların bir listesini kitle kaynaklı olarak kullanıyor. Şirket ayrıca, kullanıcıların cüzdanlarını bağlamayı gerektirmeyen hesaplarına giriş yapmaları için yeni bir yöntem yayınladı.
Web2-Web3 Bağlantısı
CertiK’in kurucu ortağı Ronghui Gu, Bu istismar, bilgisayar korsanlarının web3 projelerinden yararlanmak için web2’deki güvenlik açıklarından yararlandığı büyüyen eğilimi sürdürüyor şeklinde bir açıklamada bulundu.
Ve sözlerine şunları ekledi:
Bundan açıkça anlaşılıyor ki, web3 ekosisteminin, özellikle bunlara olan güveninin bir güvenlik açığı haline geldiği noktalarda, web2 teknolojileriyle ara bağlantıları hesaba katması gerekiyor.
.