Hơn 300 NFT bị đánh cắp, 400.000 USD Ethereum được lấy trong Premint
Tin tặc đã xâm nhập vào nền tảng đăng ký NFT phổ biến và ép người dùng từ bỏ thông tin ví của họ.
Vào Chủ nhật tuần trước (17/07), tin tặc đã xâm nhập vào nền tảng đăng ký NFT phổ biến Premint và lấy đi 320 NFT bị đánh cắp và hơn 400.000 đô la Mỹ lợi nhuận. Đây cũng là một trong những vụ hack lớn nhất trong năm nay.
Theo phân tích của công ty bảo mật blockchain CertiK, các tin tặc đã xâm nhập trang web Premint bằng mã JavaScript độc hại. Sau đó, họ tạo một cửa sổ bật lên trong trang web nhắc người dùng xác minh quyền sở hữu ví của họ, bề ngoài như một biện pháp bảo mật bổ sung.
Nhiều người dùng nhanh chóng nhận ra cửa sổ bật lên là bất hợp pháp và ngay lập tức đưa lên Twitter và Discord để cảnh báo những người khác không làm theo hướng dẫn của nó. Mặc dù vậy, trong vòng vài phút, các tin tặc đã lừa được một số khách hàng của Premint.
Các NFT bị đánh cắp bao gồm những người từ các bộ sưu tập nổi tiếng như Câu lạc bộ du thuyền Bored Ape, Otherside, Moonbirds Oddities và Goblintown. Sau khi bảo mật các NFT này, các tin tặc ngay lập tức bắt đầu tung chúng lên các chợ như OpenSea. Thậm chí một Bored Ape bị đánh cắp đã được bán với mức giá 89 ETH, tương đương khoảng 132.000 đô la Mỹ.
Sau đó, các tin tặc đã gửi tiền đến Tornado Cash để xóa sạch dấu vết kỹ thuật số thường để lại bởi các giao dịch blockchain. Các dịch vụ như Tornado Cash thường được tội phạm mạng sử dụng để “rửa tiền”.
Công ty đã lên kế hoạch công bố một tính năng bảo mật mới: Khả năng đăng nhập vào Premint thông qua Twitter hoặc Discord, một phương pháp cho phép người dùng truy cập trang web mà không cần nhập chi tiết ví trực tiếp. Tuy nhiên sự kiện tấn công đã diễn ra trước so với kế hoạch của công ty.
Đây là vụ hack mới nhất nhằm vào NFT. Chỉ riêng năm ngoái thị trường NFT đã tạo ra doanh thu 25 tỷ đô la. Vào tháng 2, một vụ lừa đảo trực tuyến trên OpenSea đã đánh cắp NFT trị giá hơn 1,7 triệu đô la Mỹ. Vào tháng 4, một vụ hack tài khoản instagram của Bored Ape Yacht Club đã dẫn đến một vụ trộm NFT gây thiệt hại 2,8 triệu đô la Mỹ. Tháng trước, nam diễn viên Seth Green đã trả gần 300.000 đô la Mỹ để thu hồi một NFT Bored Ape bị đánh cắp mà anh ta đang lên kế hoạch làm trung tâm của một bộ phim truyền hình sắp tới.
Mặc dù có lượng vốn khổng lồ chảy qua không gian NFT, tính bảo mật của những tài sản này – đặc biệt là khi được kết nối với các công ty tập trung như Premint – vẫn là một vấn đề lâu dài.
Như một người dùng Premit đã nói: “Bảo mật là điều lớn nhất nhưng không được coi trọng trong không gian tiền mã hoá.”