PRE:Premint 惡意代碼注入攻擊細節分析

7?月?17日，據慢霧區情報反饋，Premint遭遇黑客攻擊。慢霧安全團隊在第一時間進行分析和預警。

本文來自慢霧區伙伴ScamSniffer的投稿，具體分析如下：

攻擊細節

打開任意Premint項目頁面，可以看到有個cdn.min.js注入到了頁面中，看調用棧該js是由(https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js)注入，目前該s3-redwood-labs-premint-xyz.com域名已經停止解析，無法正常訪問了。

智能合約平臺Firechain完成300萬美元Pre-Seed輪融資，Genblock Capital領投:5月24日消息，異步智能合約平臺Firechain近日宣布完成300萬美元Pre-Seed輪融資，Genblock Capital領投，MGNR、Cogitent Ventures、1NVST、Ankr等參投。此輪融資資金將用于擴大團隊規模、加快發展路線圖、以及推出其創新區塊鏈平臺。

據悉，Firechain構建異步、事件驅動的混合賬本模型架構，以支持免費交易、可證明安全鏈上隨機性等功能。Firechain計劃于6月發布其DLT網絡的公開測試網。[2023/5/24 15:22:12]

查詢Whois，該域名在2022-07-16注冊于TucowsDomainsInc：

以太坊擴容項目Scroll將于1月9日執行Pre-Alpha網絡重置:1月3日消息，以太坊擴容項目Scroll表示將于1月9日執行Pre-Alpha網絡重置，提高Pre-Alpha測試網吞吐量。網絡重置完成后，Scroll建議用戶重置并從錢包中刪除所有Scroll網絡，然后再重新添加。[2023/1/3 22:22:55]

打開virustotal.com可以看到該域名之前曾解析到CloudFlare：

打開源代碼可以看到boomerang.min.js是Premint用到的一個UI庫：

DAM Finance完成180萬美元Pre-Seed輪融資，DFG和Jsquare領投:金色財經報道，dPRIME Asset Modules Finance（DAM Finance或DAM）宣布已經完成了由Digital Finance Group（DFG)和Jsquare牽頭的180萬美元Pre-Seed輪融資，Arrington Capital、Ledgerprime、D1 Ventures、11-11 Capital、Stacker Ventures等參投。

DAM Finance是一種用于從跨鏈代幣投資組合中創造購買力的協議，使借款人能夠在一次交易中存入一籃子代幣。這項創新為借款人提供了更大的購買力和維護金庫的靈活性，同時容納更廣泛的區塊鏈擔保資產作為抵押品。新資金將加速DAM主網的開發，目前計劃于今年晚些時候推出。[2022/8/20 12:36:50]

該js是在s3-redwood-labs.premint.xyz域名下，猜測：

元宇宙食品公司GREENS完成Pre-Seed輪融資，East Ventures領投:金色財經消息，總部位于印度尼西亞的元宇宙食品公司GREENS完成Pre-Seed輪融資，East Ventures領投，但沒有公開具體金額。據悉，GREENS分兩個階段來建立去中心化的食品生態系統。第1階段將專注于通過使用GREENS平臺創建連接的超本地食品店的云網絡來實現超本地食品生態系統，而第2階段將專注于MetaFarming，這將使每個人都能夠在元宇宙中種植食物以供自用和銷售。（asiatechdaily）[2022/8/2 2:52:52]

上傳文件接口有漏洞可以上傳任意文件到任意Path

黑客拿到了他們這個AmazonS3的權限，從而可以注入惡意代碼

這個第三方庫被供應鏈攻擊污染了

把boomerang.min.js代碼下載下來，前面都是正常的代碼，但是末尾有一段經過加密的代碼：

Findora與旅行預訂平臺Travel USA Express達成合作:金融隱私公鏈Findora宣布與旅行預訂平臺Travel USA Express達成合作，希望通過合作將去中心化金融網絡擴展到旅游領域。Findora的零知識證明將被整合到其預訂和支付系統中，為Travel USA Express和National Park Express的服務提供支持。[2021/3/5 18:17:45]

這段代碼負責把代碼s3-redwood-labs-premint-xyz.com/cdn.min.js注入到頁面。

惡意代碼cdn.min.js

根據代碼內容，可以大致看到有通過調用dappradar.com的接口來查詢用戶的NFT資產列表。

如果用戶持有相關NFT資產：

惡意代碼會以Two-stepwallet驗證的借口，發起setApprovalForAll讓用戶授權給他們后端接口返回的地址。

如果用戶點了Approve，攻擊者還會調用監測代碼通知自己有人點擊了：

如果當用戶地址沒有NFT資產時，它還會嘗試直接發起轉移錢包里的ETH的資產請求：

另外這種代碼變量名加密成_0xd289_0x開頭的方式，我們曾經在play-otherside.org，thesaudisnfts.xyz這些釣魚網站也見到過。

根據用戶資產發起setApprovalForAll或者直接轉移ETH，并且阻止用戶使用開發者工具debug。

預防方式

那么作為普通用戶如何預防？現階段MetaMask對ERC721的setApprovalForAll的風險提示，遠沒有ERC20的Approve做得好。

即使很多新用戶無法感知到這個行為的風險，但我們作為普通用戶看到帶Approve之類的交易一定要仔細打開授權給相關地址，看看這些地址最近的交易是否異常，避免誤授權！

這種攻擊和上次Etherscan上Coinzilla利用廣告注入惡意的攻擊方式挺相似的，那么在技術上有沒有可能預防？

理論上如果已知一些惡意js代碼的行為和特征：

比如說代碼的加密方式

惡意代碼關鍵特征

代碼會反debug

會調用opensea,debank,dappradar等API查詢用戶資產

根據這些惡意代碼的行為特征庫，那么我們可以嘗試在客戶端網頁發起交易前，檢測頁面有沒有包含已知惡意特征的代碼來探測風險，或者直接更簡單一點，對常見的網站設立白名單機制，不是交易類網站發起授權，給到足夠的風險提醒等。

接下來ScamSniffer和慢霧安全團隊也會嘗試探索一下如何在客戶端來預防此類的攻擊發生！

Ps.感謝作者ScamSniffer的精彩分析！

Tags：PREMINRESFINPRESIDENTDOGE價格gemini郭家毅頭像Presale.Worlddigifinex雙重驗證

火幣APP下載