Ddydd Sul, fe wnaeth hacwyr ymdreiddio i lwyfan cofrestru poblogaidd NFT Premint a chael gwared ar 320 o NFTs wedi'u dwyn a mwy na $400,000 mewn elw yn un o'r haciau mwyaf o'r fath eleni.
Yn ôl dadansoddiad gan gwmni diogelwch blockchain CertiK, roedd y hacwyr yn peryglu gwefan Premint ddydd Sul gyda chod JavaScript maleisus. Yna fe wnaethant greu ffenestr naid o fewn y wefan a ysgogodd ddefnyddwyr i wirio perchnogaeth eu waled, yn ôl pob tebyg fel mesur diogelwch ychwanegol.
Sylweddolodd defnyddwyr lluosog yn gyflym fod y ffenestr naid yn anghyfreithlon ac aethant ar unwaith i Twitter a Discord i rybuddio eraill i beidio â dilyn ei gyfarwyddiadau. Serch hynny, o fewn munudau, roedd yr hacwyr eisoes wedi twyllo sawl cwsmer Premint.
Roedd yr NFTs celyd yn cynnwys y rhai o gasgliadau poblogaidd Bored Ape Yacht Club, Otherside, Moonbirds Oddities, a Goblintown. Ar ôl sicrhau'r NFTs hyn, dechreuodd yr hacwyr eu troi ar farchnadoedd fel OpenSea ar unwaith; un wedi ei ddwyn Bored Ape nabbed pris o 89 ETH, neu tua $132,000.
Dros ddydd Sul, casglodd yr hacwyr 275 ETH, neu ychydig dros $400,000, trwy werthu 302 o NFTs wedi'u dwyn. Hyd yn hyn mae'r hacwyr wedi cadw 18 NFT heb eu gwerthu, yn ôl Certik.
Yna anfonodd yr hacwyr yr arian i Tornado Cash, gwasanaeth sy'n cronni adneuon arian cyfred digidol llawer o ddefnyddwyr a'u cymysgu, gan ddileu'r llwybr digidol a adawyd yn nodweddiadol gan drafodion blockchain. Cymysgu gwasanaethau fel Tornado Cash yn cael eu defnyddio’n aml gan seiberdroseddwyr i “lanhau” arian cyfred digidol wedi'i ddwyn.
Ddoe, aeth Premint at Twitter i gydnabod yr hacio a sicrhau defnyddwyr nad oedd yr hac wedi effeithio ar y mwyafrif o gyfrifon. “Diolch i’r gymuned we3 anhygoel o ledaenu rhybuddion, fe ddisgynnodd nifer gymharol fach o ddefnyddwyr am hyn,” meddai’r cwmni tweetio.
Nododd rhai defnyddwyr Premint, fodd bynnag, fod y safle hacio wedi'i adael i fyny am tua 10 awr ar ôl i hacwyr ei ymdreiddio gyntaf yn gynnar ddydd Sul. Roedd eraill yn galaru am golli eu hasedau digidol gan ofyn a fyddai Premint yn ad-dalu gwerth yr NFTs a ddygwyd i'r cyfrifon hyn.
Ers hynny mae Premint wedi dechrau cronni data ar yr holl NFTs a gafodd eu dwyn yn yr hac. Gwrthododd y cwmni ymateb i Dadgryptio ar y cofnod.
Yn eironig efallai, yn y dyddiau cyn yr hac, roedd y cwmni wedi bwriadu cyhoeddi nodwedd ddiogelwch newydd: y gallu i fewngofnodi i Premint trwy Twitter neu Discord, dull a fyddai'n caniatáu i ddefnyddwyr gael mynediad i'r wefan heb nodi manylion waled yn uniongyrchol. . Byddai unrhyw gwsmer Premint sy'n defnyddio dull mewngofnodi o'r fath wedi'i ddiogelu rhag hacio ddoe.
Fodd bynnag, nid oedd y nodwedd wedi'i rhyddhau eto. Ar ôl digwyddiadau dydd Sul, penderfynodd arweinyddiaeth Premint gyflwyno'r nodwedd ychydig ddyddiau ynghynt na'r disgwyl:
Dim ond y sgam diweddaraf i dargedu'r farchnad NFT yw'r darnia, a gynhyrchodd $25 biliwn mewn gwerthiant y llynedd yn unig. Ym mis Chwefror, sgam gwe-rwydo ar OpenSea wedi dwyn gwerth dros $1.7 miliwn o NFTs. Ym mis Ebrill, darn o gyfrif instagram Bored Ape Yacht Club arwain at ladrad NFT $2.8 miliwn. Fis diwethaf, yr actor Seth Green wedi talu bron i $300,000 i adennill NFT Ape Bored a gafodd ei ddwyn roedd yn bwriadu gwneud y canolbwynt mewn cyfres deledu sydd i ddod.
Er gwaethaf y swm enfawr o gyfalaf sy'n llifo trwy ofod yr NFT, mae diogelwch yr asedau hyn - yn enwedig pan fyddant yn gysylltiedig â chwmnïau canolog fel Premint - yn parhau i fod yn broblem barhaus.
Fel un defnyddiwr Premit rhowch hi, “Diogelwch yw'r peth mwyaf nad yw'n cael ei gymryd o ddifrif[ly] yn y gofod crypto.”
Nodyn y golygydd: Diweddarwyd yr erthygl hon ar ôl ei chyhoeddi i egluro bod yr hacwyr wedi cadw 18 NFT wedi'u dwyn ac wedi gwerthu 302 hyd yn hyn, yn ôl Certik.
Eisiau bod yn arbenigwr cripto? Sicrhewch y gorau o Dadgryptio yn syth i'ch mewnflwch.
Sicrhewch y straeon newyddion crypto mwyaf + crynodebau wythnosol a mwy!
Ffynhonnell: https://decrypt.co/105385/300-nfts-stolen-400k-in-ethereum-taken-in-premint-hack
