PRE:Premint 恶意代码注入攻击细节分析_XPRESS价格

7?月?17日,据慢雾区情报反馈,Premint遭遇黑客攻击。慢雾安全团队在第一时间进行分析和预警。

本文来自慢雾区伙伴ScamSniffer的投稿,具体分析如下:

攻击细节

打开任意Premint项目页面,可以看到有个cdn.min.js注入到了页面中,看调用栈该js是由(https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js)注入,目前该s3-redwood-labs-premint-xyz.com域名已经停止解析,无法正常访问了。

Osprey Funds推出首个公开交易波卡基金“ODOT”:金色财经报道,总部位于美国费尔菲尔德的加密资产管理公司 Osprey Funds 宣布旗下 Osprey Polkadot Trust (ODOT) 现已公开交易,据悉这是该公司推出的首个公开交易波卡 Polkadot 基金,也是美国第一个专门投资 Polkadot 原生 Token DOT 的公开交易基金。作为一款基础层协议,Polkadot 可帮助开发人员能够在其基础上构建具有可扩展性、安全性、自治和互操作性的 Web 3.0,目前市值超 96.9 亿美元,ODOT 基金的推出将允许投资者更加方便、安全、经济高效地利用这种创新加密货币。(Westfaironline)[2022/5/27 3:46:08]

查询Whois,该域名在2022-07-16注册于TucowsDomainsInc:

Neo发布Neo3?Preview 4版本 实施全新经济模型:12月22日,Neo官方宣布发布Neo3 Preview4版本。该版本实施了全新的经济模型、对委员会治理机制进行了补充、推出了供链上合约获取外部信息的Oracle服务、引入了新的通证合约标准:NEP-17标准,并带来了一系列改进和修正。[2020/12/22 16:06:05]

打开virustotal.com可以看到该域名之前曾解析到CloudFlare:

打开源代码可以看到boomerang.min.js是Premint用到的一个UI库:

库币将于11月3日18点开通PRE/USDT交易服务:据库币KuCoin交易所消息,库币将于11月3日18点上线Presearch(PRE) PRE/USDT交易对并开放交易服务。此前库币已支持PRE/BTC交易服务。Presearch是下一代由社区驱动的去中心化搜索引擎,可以保护用户的隐私,并提供加密货币奖励以及搜寻选项。库币数字货币交易所,为来自207个国家的600万用户提供币币、法币、合约、矿池、借贷等一站式服务。[2020/11/3 11:32:37]

该js是在s3-redwood-labs.premint.xyz域名下,猜测:

上传文件接口有漏洞可以上传任意文件到任意Path

动态 | 社交辩论平台Trustory将关闭,创始人Preethi Kasireddy称市场时机还不成熟:社交辩论平台Trustory宣布关闭,其创始人Preethi Kasireddy发布文章解释关闭的原因称,由于目前市场时机不对,以至于TrueStory难以成为一门可持续发展的业务,并表示将资金退还给投资人。Preethi Kasireddy 称,TruStory 这样的平台对于目前市场来说为时过早。具体来说,她陈述了 3 点原因,首先目前启动基于加密货币的项目监管和合规风险太高,尤其是在美国,对于初创公司来说很难取得成功。其次,加密货币的基础架构尚未发展成熟,需要更好的基础架构(例如加密货币钱包)和无缝的授权解决方案(交易签名)。第三,TruStory 这样的平台,目标用户数以百万计才可以持续发展,然而目前的现状是,用户规模不足以建立可持续的业务。根据 Block123.com 显示,TruStory 的使命是基于切肤博弈的方式让参与者理性参与辩论,从而基于任何话题产生富有成效的辩论结果。Preethi Kasireddy 是 TrueStory 的创始人,Andreessen Horowitz (a16z)前合伙人,Coinbase 前工程师,她曾构建并实施了将以太坊集成到 Coinbase 平台所需的前端界面和 API 等。在停止 Trustory 项目后,Preethi Kasireddy表示日后将从事自己热爱的教育和写作工作。[2020/1/31]

黑客拿到了他们这个AmazonS3的权限,从而可以注入恶意代码

动态 | Ethereum Express将启动两项新试点项目:金色财经报道,以权限证明算法运行的Ethereum Express(EEX)项目将启动两个新的试点项目。EEX计划涵盖来自美国、日本、乌克兰、巴西和其他国家的超过48,000个用户,力图在两个试点项目的内部流程中引入巨大的效率变化。根据新闻稿,Ethereum Express已经展示了其网络的功能,该功能在测试期间以15 TPS的性能超过了以太坊,每区块1000笔交易,每秒的网络容量超过200笔交易。实施这两个试点是矿业公司Mining Express和一家公司,两个试点项目的估计价值约为5亿美元。[2019/12/4]

这个第三方库被供应链攻击污染了

把boomerang.min.js代码下载下来,前面都是正常的代码,但是末尾有一段经过加密的代码:

这段代码负责把代码s3-redwood-labs-premint-xyz.com/cdn.min.js注入到页面。

恶意代码cdn.min.js

根据代码内容,可以大致看到有通过调用dappradar.com的接口来查询用户的NFT资产列表。

如果用户持有相关NFT资产:

恶意代码会以Two-stepwallet验证的借口,发起setApprovalForAll让用户授权给他们后端接口返回的地址。

如果用户点了Approve,攻击者还会调用监测代码通知自己有人点击了:

如果当用户地址没有NFT资产时,它还会尝试直接发起转移钱包里的ETH的资产请求:

另外这种代码变量名加密成_0xd289_0x开头的方式,我们曾经在play-otherside.org,thesaudisnfts.xyz这些钓鱼网站也见到过。

根据用户资产发起setApprovalForAll或者直接转移ETH,并且阻止用户使用开发者工具debug。

预防方式

那么作为普通用户如何预防?现阶段MetaMask对ERC721的setApprovalForAll的风险提示,远没有ERC20的Approve做得好。

即使很多新用户无法感知到这个行为的风险,但我们作为普通用户看到带Approve之类的交易一定要仔细打开授权给相关地址,看看这些地址最近的交易是否异常,避免误授权!

这种攻击和上次Etherscan上Coinzilla利用广告注入恶意的攻击方式挺相似的,那么在技术上有没有可能预防?

理论上如果已知一些恶意js代码的行为和特征:

比如说代码的加密方式

恶意代码关键特征

代码会反debug

会调用opensea,debank,dappradar等API查询用户资产

根据这些恶意代码的行为特征库,那么我们可以尝试在客户端网页发起交易前,检测页面有没有包含已知恶意特征的代码来探测风险,或者直接更简单一点,对常见的网站设立白名单机制,不是交易类网站发起授权,给到足够的风险提醒等。

接下来ScamSniffer和慢雾安全团队也会尝试探索一下如何在客户端来预防此类的攻击发生!

Ps.感谢作者ScamSniffer的精彩分析!

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

PEPEPOW:Etherscan:熊市中的一些重要图表_ETH

去年年初,我们写了20张“NumbaGoUp”的图表,强调了2021年1月的高回报率。事实证明,这是一轮大牛市的开始。目前的熊市已经持续了几个月,是时候重新审视这些图表,看看它们现在的样子了.

[0:0ms0-6:455ms