Premint 惡意代碼注入攻擊細節分析_PRE

7?月?17 日，據慢霧區情報反饋，Premint 遭遇黑客攻擊。慢霧安全團隊在第一時間進行分析和預警。

本文來自慢霧區伙伴 Scam Sniffer 的投稿，具體分析如下：

攻擊細節

打開任意 Premint 項目頁面，可以看到有個 cdn.min.js 注入到了頁面中，看調用棧該 js 是由 [boomerang.min.js](https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js) 注入，目前該 s3-redwood-labs-premint-xyz.com 域名已經停止解析，無法正常訪問了。

工業元宇宙公司Prevu3D完成1000萬美元A輪融資:金色財經報道，工業元宇宙公司Prevu3D宣布完成1000萬美元A輪融資，Cycle Capital領投，此前投資過該公司的Brightspark Ventures和Desjardins Capital參投。Prevu3D彌合了現實與數字世界之間的鴻溝，利用游戲技術、3D掃描和云計算構建的工業元宇宙可幫助企業進行數字化轉型，新資金將用于擴展和加速其工業環境3D數字孿生平臺的部署。（newswire）[2023/2/14 12:06:44]

查詢 Whois，該域名在 2022-07-16 注冊于 Tucows Domains Inc：

打開 virustotal.com 可以看到該域名之前曾解析到 CloudFlare：

區塊鏈支付初創公司Bitmama完成200萬美元pre-seed輪融資:9月9日消息，尼日利亞區塊鏈支付初創公司Bitmama完成200萬美元pre-seed輪融資，此輪融資由Unicorn Growth Capital和Launch Africa領投，Adaverse、Flori Ventures、Tekedia Capital、Green House Capital、ODBA、Five 35 Ventures、Chrysalis Capital、EnrichAfrica、Thrive Africa和Angellist Ventures等參投。此輪資金將用于加強團隊實力，鞏固產品供應并擴大在非洲的市場規模，同時在非洲擴展加密貨幣的新用例。（TechCrunch）[2022/9/9 13:20:04]

BLAST Premier和Bondly聯手推出NFT收藏品:據官方消息，BLAST Premier（電競賽事主辦方）和Bondly將聯手推出NFT收藏品，于6月15日開始銷售。BLAST 的NFT由 Bondly 平臺提供支持，起價為 18 美元。

Bondly是第一個與影響力人物，音樂家和游戲/收藏品創作者合作，并將獨特的產品推向市場的公司。Bondly 為粉絲創建并發布了油管網紅 Logan Paul 的首個限量版 NFT 收藏品系列，僅在 30 分鐘內售罄。Lewis Capaldi與 Bondly 合作并迅速售罄了他的 Big Fat Sexy 收藏卡片系列 (NFT)，其中絕大多數由非加密貨幣持有者購買。

BLAST Premier 是一個反恐精英錦標賽集合，它聯合了所有主要的 CS:GO 賽事，為全球所有地區提供機會，并為 CS:GO 的世界冠軍加冕。今年將有多達 32 支球隊參加 7 場 BLAST Premier 賽事，獎金總額為 2,475,000 美元，最好的團隊和選手將在此進行競爭。[2021/6/11 23:31:18]

打開源代碼可以看到 boomerang.min.js 是 Premint 用到的一個 UI 庫：

以波場網絡為基礎發行的穩定幣借貸平臺JUST已被DappReview收錄:據最新消息顯示，以波場TRON網絡為基礎發行的穩定幣借貸平臺JUST已正式被DappReview收錄，用戶之后可以在DappReview上查看關于JUST項目的活躍用戶數、交易筆數、交易總額等基本信息，詳情點擊原文鏈接。此外，JUST（JST）作為Poloniex（P網）LaunchBase項目，將于5月5日正式上線。[2020/4/21]

該 js 是在 s3-redwood-labs.premint.xyz 域名下，猜測：

上傳文件接口有漏洞可以上傳任意文件到任意 Path （比較常見的 Web 漏洞）

黑客拿到了他們這個 Amazon S3 的權限，從而可以注入惡意代碼

動態 | Mixin Network與City Express Group達成合作:Mixin Network 與尼泊爾大型綜合金融集團 City Express Group 的全球支付服務商City Express Money Transfer Co. Ltd就即時通訊支付系統深度合作。 尼泊爾將使用Mixin Network的分布式賬本技術和DApp Mixin Messenger進行跨境支付和電子支付和結算。[2018/6/28]

這個第三方庫被供應鏈攻擊污染了

把 boomerang.min.js 代碼下載下來，前面都是正常的代碼，但是末尾有一段經過加密的代碼：

這段代碼負責把代碼 s3-redwood-labs-premint-xyz.com/cdn.min.js 注入到頁面。

惡意代碼 cdn.min.js

根據代碼內容，可以大致看到有通過調用 dappradar.com 的接口來查詢用戶的 NFT 資產列表（此前我們也有看到惡意網站通過 Debank，Opensea 的 API 來查詢用戶資產等）。

如果用戶持有相關 NFT 資產：

惡意代碼會以 Two-step wallet 驗證的借口，發起 setApprovalForAll 讓用戶授權給他們后端接口返回的地址（攻擊者一般為了提高封禁成本，基本上會分流并且每個地址控制在 200 個交易內）。

如果用戶點了 Approve，攻擊者還會調用監測代碼通知自己有人點擊了：

如果當用戶地址沒有 NFT 資產時，它還會嘗試直接發起轉移錢包里的 ETH 的資產請求：

另外這種代碼變量名加密成 _0xd289 _0x 開頭的方式，我們曾經在 play-otherside.org，thesaudisnfts.xyz 這些釣魚網站也見到過。

根據用戶資產發起 setApprovalForAll 或者直接轉移 ETH，并且阻止用戶使用開發者工具 debug。

預防方式

那么作為普通用戶如何預防？現階段 MetaMask 對 ERC 721 的 setApprovalForAll 的風險提示，遠沒有 ERC20 的 Approve 做得好。

即使很多新用戶無法感知到這個行為的風險，但我們作為普通用戶看到帶 Approve 之類的交易一定要仔細打開授權給相關地址，看看這些地址最近的交易是否異常（比如清一色的 safeTransferFrom），避免誤授權！

這種攻擊和上次 Etherscan 上 Coinzilla 利用廣告注入惡意的攻擊方式挺相似的，那么在技術上有沒有可能預防？

理論上如果已知一些惡意 js 代碼的行為和特征：

比如說代碼的加密方式

惡意代碼關鍵特征

代碼會反 debug

會調用 opensea, debank, dappradar 等 API 查詢用戶資產

根據這些惡意代碼的行為特征庫，那么我們可以嘗試在客戶端網頁發起交易前，檢測頁面有沒有包含已知惡意特征的代碼來探測風險，或者直接更簡單一點，對常見的網站設立白名單機制，不是交易類網站發起授權，給到足夠的風險提醒等。

接下來 Scam Sniffer 和慢霧安全團隊也會嘗試探索一下如何在客戶端來預防此類的攻擊發生！

Ps. 感謝作者 Scam Sniffer 的精彩分析！

Tags：PREMINAPPEMIPRESIDENTDOGE幣男生微信名叫Gemini是什么意思Wrapped BINDgemini雙子座讀音

DOT