Premint 惡意代碼注入攻擊細節分析_PRE

7?月?17日，據慢霧區情報反饋，Premint遭遇黑客攻擊。慢霧安全團隊在第一時間進行分析和預警。

本文來自慢霧區伙伴ScamSniffer的投稿，具體分析如下：

攻擊細節

打開任意Premint項目頁面，可以看到有個cdn.min.js注入到了頁面中，看調用棧該js是由(https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js)注入，目前該s3-redwood-labs-premint-xyz.com域名已經停止解析，無法正常訪問了。

Aura Network完成400萬美元Pre-A輪融資:2月15日消息，Cosmos 生態 NFT 區塊鏈 Aura Network 完成 400 萬美元 Pre-A 輪融資，本輪融資由 Hashed 和 Coin98 領投，GuildFi、Istari Ventures、K300 Ventures 參投。本輪融資資金將用于繼續推動 Aura Network 生態發展。[2023/2/15 12:09:04]

查詢Whois，該域名在2022-07-16注冊于TucowsDomainsInc：

打開virustotal.com可以看到該域名之前曾解析到CloudFlare：

BUK Technology完成10萬美元pre-seed輪融資，Polygon Studios聯創領投:11月29日消息，基于NFT的代幣化客房預訂和轉售平臺BUK Technology宣布完成10萬美元pre-seed輪融資，Polygon Studios聯合創始人Sandeep Nailwal領投。

據悉，BUK致力于構建酒店市場代幣化平臺，用戶可以在該平臺上對預訂客房進行公開交易和轉售并獲得代幣收益，酒店經營者也能夠以NFT形式開發、存儲、管理客房并推銷服務，為酒店行業帶來Web3創新。[2022/11/29 21:09:57]

打開源代碼可以看到boomerang.min.js是Premint用到的一個UI庫：

NFT基礎設施平臺Byzantion完成100萬美元Pre-Seed輪融資，Hivemind領投:7月11日消息，NFT基礎設施平臺Byzantion宣布完成100萬美元Pre-Seed輪融資，Hivemind領投，KCRise Fund、Backend Capital和CryptoSlam參投。新融資將用于幫助Byzantion繼續擴展其NFT平臺，提供跨鏈服務。

Byzantion是一個供交易者和開發者使用的NFT平臺，在其用戶界面上提供了許多工具，為大量的收藏家創建了一個統一和完整的交易平臺。Byzantion還為NFT項目和開發人員提供了API和社區工具，為構建者提供了一個結構化的真實數據來源，這些數據直接從專門為NFT構建的鏈上獲得。（Globe Newswire）[2022/7/11 2:06:08]

Osprey Funds將啟動Polkadot信托基金:金色財經報道，Osprey Funds宣布將推出Polkadot信托投資基金。根據該公司的新聞稿，該基金將提供給合格投資者，最低投資額為25,000美元。該基金將“盡快”在OTCQX市場上市，Coinbase將擔任該基金的托管人。[2021/4/30 21:12:09]

該js是在s3-redwood-labs.premint.xyz域名下，猜測：

上傳文件接口有漏洞可以上傳任意文件到任意Path

黑客拿到了他們這個AmazonS3的權限，從而可以注入惡意代碼

這個第三方庫被供應鏈攻擊污染了

把boomerang.min.js代碼下載下來，前面都是正常的代碼，但是末尾有一段經過加密的代碼：

BBKX平臺第一期10095Pre-Burn鎖倉挖礦銷毀88萬枚BBK:據BBKX平臺官方公告披露，BBKX平臺依照Pre-Burn挖礦規則，本月10095Pre-Burn活動共計鎖倉17,745,635枚BBK，其中5%共計887,282枚BBK已轉入銷毀地址。請點擊原為鏈接查看。

BBKX成立于2019年，致力于打造綜合性交易平臺，現已集合幣幣交易、ETF杠桿、量化交易、永續合約、混合合約、云算力等多項功能，已獲得節點資本與鏈上基金聯合戰略投資。[2020/8/7]

這段代碼負責把代碼s3-redwood-labs-premint-xyz.com/cdn.min.js注入到頁面。

惡意代碼cdn.min.js

根據代碼內容，可以大致看到有通過調用dappradar.com的接口來查詢用戶的NFT資產列表。

如果用戶持有相關NFT資產：

惡意代碼會以Two-stepwallet驗證的借口，發起setApprovalForAll讓用戶授權給他們后端接口返回的地址。

如果用戶點了Approve，攻擊者還會調用監測代碼通知自己有人點擊了：

如果當用戶地址沒有NFT資產時，它還會嘗試直接發起轉移錢包里的ETH的資產請求：

另外這種代碼變量名加密成_0xd289_0x開頭的方式，我們曾經在play-otherside.org，thesaudisnfts.xyz這些釣魚網站也見到過。

根據用戶資產發起setApprovalForAll或者直接轉移ETH，并且阻止用戶使用開發者工具debug。

預防方式

那么作為普通用戶如何預防？現階段MetaMask對ERC721的setApprovalForAll的風險提示，遠沒有ERC20的Approve做得好。

即使很多新用戶無法感知到這個行為的風險，但我們作為普通用戶看到帶Approve之類的交易一定要仔細打開授權給相關地址，看看這些地址最近的交易是否異常，避免誤授權！

這種攻擊和上次Etherscan上Coinzilla利用廣告注入惡意的攻擊方式挺相似的，那么在技術上有沒有可能預防？

理論上如果已知一些惡意js代碼的行為和特征：

比如說代碼的加密方式

惡意代碼關鍵特征

代碼會反debug

會調用opensea,debank,dappradar等API查詢用戶資產

根據這些惡意代碼的行為特征庫，那么我們可以嘗試在客戶端網頁發起交易前，檢測頁面有沒有包含已知惡意特征的代碼來探測風險，或者直接更簡單一點，對常見的網站設立白名單機制，不是交易類網站發起授權，給到足夠的風險提醒等。

接下來ScamSniffer和慢霧安全團隊也會嘗試探索一下如何在客戶端來預防此類的攻擊發生！

Ps.感謝作者ScamSniffer的精彩分析！

Tags：PREMINNFTEMISupremacyMicrominesNFTY幣gemini女朋友染染退博

瑞波幣