سرقة أكثر من 300 NFTs وإيثريوم بقيمة 400 ألف دولار في اختراق PREMINT – كريبتاوي
اخترق المتسللون منصة تسجيل NFT الشهيرة واستخدموا نافذة منبثقة مزيفة لإجبار المستخدمين على التخلي عن معلومات محافظهم.
يوم الأحد ، تسلل قراصنة إلى منصة تسجيل NFT الشهيرة PREMINT وسرقوا 320 NFT وأرباحًا تزيد عن 400 ألف دولار في واحدة من أكبر الاختراقات هذا العام.
وفقًا لتحليل أجرته شركة CertiK لأمن البلوكتشين ، قام المتسللون باختراق موقع PREMINT يوم الأحد باستخدام شفرة JavaScript ضارة. ثم قاموا بإنشاء نافذة منبثقة داخل الموقع حثت المستخدمين على التحقق من ملكية محافظهم ، ظاهريًا كإجراء أمني إضافي.
سرعان ما أدرك العديد من المستخدمين أن النافذة المنبثقة كانت غير شرعية وانتقلوا على الفور إلى تويتر و Discord لتحذير الآخرين من اتباع تعليماتها. ومع ذلك ، في غضون دقائق ، خدع المتسللون بالفعل العديد من عملاء PREMINT.
” تم اختراق Premint. لا تؤكد أي معاملات ، فسوف تستنزف محفظتك pic.twitter.com/PJnz30Nfqn
– كريبتوفالي | Amassing.eth (SpiritAzuki) ١٧ يوليو ٢٠٢٢”.
تضمنت NFTs المسروقة تلك من المجموعات الشعبية Bored Ape Yacht Club و Otherside و Moonbirds Oddities و Goblintown. بعد تأمين NFTs ، بدأ المتسللون على الفور في عرضها في أسواق مثل OpenSea ؛ قبض أحد توكنات NFT لقرود الملل المسروقة على سعر 89 ETH ، أو حوالي 132000 دولار.
على مدار يوم الأحد ، جمع المتسللون 275 ETH ، أو ما يزيد قليلاً عن 400،000 دولار ، من مبيعات جميع الـ 320 NFT المسروقة.
ثم أرسل المتسللون الأموال إلى Tornado Cash ، وهي خدمة تجمع ودائع العملات المشفرة للعديد من المستخدمين وتخلطها ، مما يمحو الأثر الرقمي الذي تتركه عادةً معاملات البلوكتشين. كثيرًا ما يستخدم مجرموا الإنترنت خدمات المزج مثل Tornado Cash من أجل “غسيل” العملة المشفرة المسروقة.
بالأمس ، انتقلت PREMINT إلى تويتر للإقرار بالاختراق وطمأنة المستخدمين بأن غالبية الحسابات لم تتأثر بالاختراق. “بفضل تحذيرات نشرها مجتمع الويب 3 المذهلة ، سقط عدد صغير نسبيًا من المستخدمين في هذا” ، غردت الشركة.
الليلة الماضية ، تم التلاعب بملف على PREMINT من قبل جهة خارجية غير معروفة مما أدى إلى تزويد المستخدمين باتصال محفظة كان ضارًا.
– بريمينت | NFT Access List Tool (PREMINT_NFT) 17 يوليو 2022″
ومع ذلك ، أشار بعض مستخدمي PREMINT إلى أن الموقع الذي تم الاستيلاء عليه تم تركه لمدة 10 ساعات تقريبًا بعد أن سيطر المتسللون عليه لأول مرة في وقت مبكر من يوم الأحد. أعرب آخرون عن أسفهم لخسارة أصولهم الرقمية وتساءلوا عما إذا كانت PREMINT ستعيد إلى هذه الحسابات قيمة NFTs المسروقة.
” تعرضت للخداع / الاستنزاف لأنني غبي ووثقت بكم. يرجى التأكد من مساعدة / رد أموال الأشخاص الذين كانوا يثقون بكم.
– nummer1.eth || 9311.eth (the_nftgoat) ١٧ يوليو ٢٠٢٢”
” هل سيتم دفع التعويض؟ كثير من الناس يريدون أن يعرفوا!
– minakoch (minakochenhe) ١٧ يوليو ٢٠٢٢”
بدأت PREMINT منذ ذلك الحين في تجميع البيانات حول جميع NFTs المسروقة في الاختراق.
ربما من المفارقات ، في الأيام التي سبقت الاختراق ، أن الشركة خططت للإعلان عن ميزة أمان جديدة: القدرة على تسجيل الدخول إلى PREMINT عبر حسابات تويتر أو Discord ، وهي طريقة تسمح للمستخدمين بالوصول إلى الموقع دون إدخال تفاصيل المحفظة مباشرة . أي عميل PREMINT يستخدم طريقة تسجيل الدخول هذه سيكون محميًا من اختراق الأمس.
لم يتم إصدار الميزة بعد ، ومع ذلك. بعد أحداث يوم الأحد ، قررت قيادة PREMINT طرح الميزة قبل أيام قليلة مما كان متوقعًا:
“كنا نخطط للإعلان عن هذا في وقت لاحق من هذا الأسبوع ، ولكن نظرًا لما يحدث ، فقد فضلنا طرحه في أسرع وقت ممكن. https://t.co/GcyYLxWLNM
– بريندن موليجان | PREMINT (mulligan) 18 يوليو 2022″
الاختراق هو أحدث عملية احتيال تستهدف سوق NFT ، والتي حققت في العام الماضي وحده مبيعات بقيمة 25 مليار دولار. في فبراير ، سرقت عملية احتيال على OpenSea أكثر من 1.7 مليون دولار من NFTs. في أبريل ، أدى اختراق حساب Bored Ape Yacht Club على الإنستغرام إلى سرقة NFT بقيمة 2.8 مليون دولار. في الشهر الماضي ، دفع الممثل Seth Green ما يقرب من 300000 دولار لاستعادة Bored Ape NFT كان يخطط لجعل محور مسلسل تلفزيوني قادم.
على الرغم من التدفق الهائل لرأس المال عبر مساحة NFT ، فإن أمان هذه الأصول – خاصة عند الاتصال بشركات مركزية مثل PREMINT – يظل مشكلة دائمة.
كما قال أحد مستخدمي PREMINT ، “الأمان هو أكبر شيء لا يتم التعامل معه بجدية في مجال التشفير.”