Un pirate a volé 314 NFT sur Premint

Un pirate informatique a hacké le site Web officiel d’une plate-forme de NFT appelée Premint pour voler 375 000 $ de NFT.

Selon la société de sécurité CertiK, un hacker black hat a injecté un morceau de code JavaScript malveillant sur premint.xyz, demandant aux utilisateurs de signer une transaction malveillante via une fenêtre contextuelle de portefeuille. Au total, six utilisateurs ont signé le code, donnant au pirate le contrôle total de dépenser des fonds.

Avant que l’exploit ne puisse être découvert, le pirate a pu voler 314 NFT différents. Ceux-ci comprenaient des NFT de collections telles que Bored Ape Yacht Club, Otherside, Moonbirds Oddities et Goblintown.

Les actifs volés ont été vendus pour 270 ETH (375 000 $). Le pirate a transféré la somme et l’a acheminé via Tornado Cash, un mélangeur de transactions populaire sur le réseau Ethereum.

L’exploit poursuit la tendance croissante des pirates à exploiter les vulnérabilités de l’infrastructure Web traditionnelle pour réaliser des exploits de sécurité sur des projets Web3.

Le mois dernier, des pirates ont exploité des sites Web exploités par des projets de financement décentralisés Ribbon Finance et Convex Finance pour exécuter des attaques de phishing. Dans d’autres incidents, les serveurs Discord, les comptes Twitter et Instagram ont été exploités pour faire circuler des liens de phishing afin de voler de la crypto-monnaie et des NFT.

Il ressort clairement de cela que l’écosystème web3 doit prendre en compte les interconnexions avec les technologies web2, en particulier aux points où sa dépendance à leur égard devient une vulnérabilité.