Premint 惡意代碼注入攻擊細節分析_EMI:gemini女朋友是室友嗎

7?月?17 日，據慢霧區情報反饋，Premint 遭遇黑客攻擊。慢霧安全團隊在第一時間進行分析和預警。

本文來自慢霧區伙伴 Scam Sniffer 的投稿，具體分析如下：

攻擊細節

打開任意 Premint 項目頁面，可以看到有個 cdn.min.js 注入到了頁面中，看調用棧該 js 是由 [boomerang.min.js](https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js) 注入，目前該 s3-redwood-labs-premint-xyz.com 域名已經停止解析，無法正常訪問了。

元宇宙教育科技平臺ClassMonitor完成1億盧比pre-A輪融資:11月30日消息，印度元宇宙教育科技平臺ClassMonitor宣布完成1億盧比（約合122.73萬美元）pre-A輪融資，本輪融資由Frontline Strategy Funds領投，Sarvann & Calega Family Office等參投。

該公司主要為0-8歲年齡段的早期學習者提供基于元宇宙的學習服務，讓他們獲得更深入、更身臨其境的學習體驗。（Indian Web2）[2022/11/30 21:12:17]

查詢 Whois，該域名在 2022-07-16 注冊于 Tucows Domains Inc：

打開 virustotal.com 可以看到該域名之前曾解析到 CloudFlare：

虛擬人公司“慧夜科技”完成數千萬元Pre A+輪融資，高瓴創投領投:10月10日消息，虛擬人公司“慧夜科技”完成數千萬元Pre A+輪融資，高瓴創投領投，順為資本跟投。本輪資金將被用以繼續完善產品、降低虛擬內容的制作門檻、擴張團隊以及發展更多客戶。

慧夜科技是一家虛擬?命AI驅動技術的服務商，打造出一套?成式深度神經?絡框架，虛擬角色在其基礎上學習人類的運動模式。在不需要真人動捕的前提下，在系統中輸入一段音樂，虛擬角色會根據旋律自動起舞。創始人渠思源將它稱之為賦予虛擬人交互和表演能力的解決方案。

據悉，今年1月，慧夜科技曾完成順為資本獨家投資的PreA輪融資。更早前，該公司曾完成天使輪融資，青山資本領投。（36kr）[2022/10/10 12:51:45]

Web3 ACG創作平臺Zodiac World完成Pre-Seed輪融資，LD Capital等參投:8月26日消息，Web3ACG（動漫和游戲）創作平臺Zodiac World完成Pre-Seed輪融資，本輪融資由LD Capital和Math Wallet參投，融資金額未披露。本輪融資將用于加速生態發展，聘請人才并建立可持續發展的社區。Zodiac World表示下一步將上線人物NFT系列并推出第一集動漫及游戲。[2022/8/26 12:49:42]

打開源代碼可以看到 boomerang.min.js 是 Premint 用到的一個 UI 庫：

該 js 是在 s3-redwood-labs.premint.xyz 域名下，猜測：

NSAV宣布計劃在9月中旬推出Premium OTC加密交易柜臺:8月23日消息，加密貨幣、區塊鏈和數字資產技術公司Net Savings Link, Inc.（簡稱NSAV）今天宣布計劃在9月中旬之前推出Premium OTC加密交易柜臺。NSAV的OTC柜臺將為交易大量加密貨幣的機構和高凈值個人提供私人和個性化服務，包括增加流動性（無滑點）、價格保護、匿名、法幣支持、無限購買和稀有代幣的購買，這些服務在交易所無法獲得。（Globe Newswire）[2021/8/23 22:32:22]

上傳文件接口有漏洞可以上傳任意文件到任意 Path （比較常見的 Web 漏洞）

黑客拿到了他們這個 Amazon S3 的權限，從而可以注入惡意代碼

這個第三方庫被供應鏈攻擊污染了

把 boomerang.min.js 代碼下載下來，前面都是正常的代碼，但是末尾有一段經過加密的代碼：

CloverFinance即將推出pre-mainnet網絡:3月15日消息，波卡生態智能合約平臺CloverFinance宣布將于24小時內上線主網前的pre-mainnet網絡，并推出全新的驗證者計劃和新的水龍頭功能。測試網的Rose計劃將會隨著pre-mainnet網絡的推出而同時結束。[2021/3/15 18:45:45]

這段代碼負責把代碼 s3-redwood-labs-premint-xyz.com/cdn.min.js 注入到頁面。

惡意代碼 cdn.min.js

根據代碼內容，可以大致看到有通過調用 dappradar.com 的接口來查詢用戶的 NFT 資產列表（此前我們也有看到惡意網站通過 Debank，Opensea 的 API 來查詢用戶資產等）。

如果用戶持有相關 NFT 資產：

惡意代碼會以 Two-step wallet 驗證的借口，發起 setApprovalForAll 讓用戶授權給他們后端接口返回的地址（攻擊者一般為了提高封禁成本，基本上會分流并且每個地址控制在 200 個交易內）。

如果用戶點了 Approve，攻擊者還會調用監測代碼通知自己有人點擊了：

如果當用戶地址沒有 NFT 資產時，它還會嘗試直接發起轉移錢包里的 ETH 的資產請求：

另外這種代碼變量名加密成 _0xd289 _0x 開頭的方式，我們曾經在 play-otherside.org，thesaudisnfts.xyz 這些釣魚網站也見到過。

根據用戶資產發起 setApprovalForAll 或者直接轉移 ETH，并且阻止用戶使用開發者工具 debug。

預防方式

那么作為普通用戶如何預防？現階段 MetaMask 對 ERC 721 的 setApprovalForAll 的風險提示，遠沒有 ERC20 的 Approve 做得好。

即使很多新用戶無法感知到這個行為的風險，但我們作為普通用戶看到帶 Approve 之類的交易一定要仔細打開授權給相關地址，看看這些地址最近的交易是否異常（比如清一色的 safeTransferFrom），避免誤授權！

這種攻擊和上次 Etherscan 上 Coinzilla 利用廣告注入惡意的攻擊方式挺相似的，那么在技術上有沒有可能預防？

理論上如果已知一些惡意 js 代碼的行為和特征：

比如說代碼的加密方式

惡意代碼關鍵特征

代碼會反 debug

會調用 opensea, debank, dappradar 等 API 查詢用戶資產

根據這些惡意代碼的行為特征庫，那么我們可以嘗試在客戶端網頁發起交易前，檢測頁面有沒有包含已知惡意特征的代碼來探測風險，或者直接更簡單一點，對常見的網站設立白名單機制，不是交易類網站發起授權，給到足夠的風險提醒等。

接下來 Scam Sniffer 和慢霧安全團隊也會嘗試探索一下如何在客戶端來預防此類的攻擊發生！

Ps. 感謝作者 Scam Sniffer 的精彩分析！

Tags：PREMINEMIREMIPredictzgemini女朋友是室友嗎gemini郭家毅表情包REMIT幣

ADA