Die Website von Premint, eine beliebte NFT-Pass-Plattform, wurde am Sonntag kompromittiert, und die bei dem Vorfall erlittenen Verluste werden laut Sicherheitsdetails von CertiK auf rund 375.000 US-Dollar geschätzt.
Verletzung der Premint NFT-Website
Berichten zufolge haben die Hacker eine schädliche JS-Datei in die Website von Premint eingeschleust, die ahnungslose Benutzer dazu verleitete, eine Transaktion von „setApprovalForAll (address, bool)“ zu unterzeichnen. Dies verschaffte Angreifern Zugang, um Benutzer-NFTs und andere Vermögenswerte zu stehlen, die in betroffenen Wallets enthalten sind.
Etherscan meldete vier Adressen, die an dem Angriff beteiligt waren. Certik sagte, die Angreifer hätten etwa 314 NFTs gestohlen, darunter BAYC , Otherside, Globlintownm und andere. Der Gesamtverlust wird auf etwa 275 ETH oder 374.417,66 $ zum aktuellen Marktpreis geschätzt. Das macht es „zu einem der größten NFT-Hacks dieses Jahres“, so CertiK.
Dieses Problem betraf nur Benutzer, die eine Brieftasche nach Mitternacht pazifischer Zeit über diesen Dialog verknüpft haben. Dank der unglaublichen Verbreitungswarnungen der web3-Community hat sich eine relativ kleine Anzahl von Benutzern in dieses Tool verliebt.
Preisgekrönt.
Sicherheitsmaßnahmen
Das Permit-Team gab die Warnung zuvor auf Twitter heraus und forderte die Benutzer auf, keine Transaktionen zu unterzeichnen, in denen sie aufgefordert werden, „Genehmigungen für alle festzulegen“ und ihre Wallet-Autorisierung zu widerrufen, wenn sie glauben, dass ihre Wallet bei dem Angriff kompromittiert wurde. Die Website wurde zur Behebung vorübergehend entfernt.
Zum Zeitpunkt des Schreibens war die Website in Betrieb. Premint hat ein Update an die Website weitergegeben, wodurch sich die Benutzer nicht mehr mit ihren Wallets anmelden müssen. Benutzer können jetzt Twitter- oder Discord-Konten anstelle von Brieftaschen verwenden, wenn sie sich wieder bei der Plattform anmelden. „Das ist sicherer und viel billiger. Vor allem auf mobilen Geräten“.