MIN:Premint 惡意代碼注入攻擊細節分析_Payexpress

7?月?17日，據慢霧區情報反饋，Premint遭遇黑客攻擊。慢霧安全團隊在第一時間進行分析和預警。

本文來自慢霧區伙伴ScamSniffer的投稿，具體分析如下：

攻擊細節

打開任意Premint項目頁面，可以看到有個cdn.min.js注入到了頁面中，看調用棧該js是由(https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js)注入，目前該s3-redwood-labs-premint-xyz.com域名已經停止解析，無法正常訪問了。

區塊鏈碳信用平臺The Zero Fund完成40萬歐元pre-seed輪融資:金色財經報道，區塊鏈碳信用平臺 The Zero Fund 宣布完成 40 萬歐元 pre-seed 輪融資，Rock Capital 領投。The Zero Fund 總部位于法國波城，通過高安全性區塊鏈平臺以實現透明且可驗證的高質量碳信用交易。（finsmes）[2023/2/7 11:52:27]

查詢Whois，該域名在2022-07-16注冊于TucowsDomainsInc：

打開virustotal.com可以看到該域名之前曾解析到CloudFlare：

數字身份平臺Yofi完成pre-seed輪融資，Kickstart Fund領投:金色財經報道，數字身份平臺Yofi宣布完成一筆pre-seed輪融資，具體金額暫未披露，Kickstart Fund領投，Data Tech Fund、Signal Peak Ventures、Rocky Point Ventures、BBQ Capital 和其他天使投資人參投。Yofi通過數據綜合和推薦幫助用戶更好地完成KYC身份驗證，避免用戶遭遇機器人、不良行為者和欺詐者風險。（martechseries）[2022/10/5 18:39:45]

打開源代碼可以看到boomerang.min.js是Premint用到的一個UI庫：

零數科技完成數千萬元Pre-B輪戰略融資:1月18日消息，能鏈眾合近日完成數千萬Pre-B輪戰略融資，本輪投資方成都新躍股權投資基金是一支國有控股基金，其股東方包括四川新傳媒、人民網、光明網等機構。本輪所融資金將用于開拓新業務板塊，加速數字文化產業布局，積極推動區塊鏈數字版權保護、NFT等應用落地，持續推動區塊鏈賦能數字經濟穩健可持續發展。能鏈眾合是一家節能環保產業區塊鏈金融服務提供商。能鏈眾合致力于區塊鏈在能源領域的應用，為能源金融產品的開發、審核、登記、交易提供全流程的協作工具，消除能源金融產品開發過程中的鏈條過長、信息不對稱等痛點。（騰訊網）[2022/1/19 8:57:51]

該js是在s3-redwood-labs.premint.xyz域名下，猜測：

上傳文件接口有漏洞可以上傳任意文件到任意Path

流行音樂公司Prescription Songs支持詞曲作者和音樂制作人用比特幣收取版稅:近日，流行音樂公司Prescription Songs宣布，其詞曲作者和音樂制作人現在可以選擇用比特幣收取版稅。

據悉，Prescription Songs已與總部位于美國的比特幣服務提供商BitPay合作，協助他們向會員支付款項。[2021/4/4 19:44:31]

黑客拿到了他們這個AmazonS3的權限，從而可以注入惡意代碼

這個第三方庫被供應鏈攻擊污染了

把boomerang.min.js代碼下載下來，前面都是正常的代碼，但是末尾有一段經過加密的代碼：

超300個網站安裝WordPress插件通過加密交易所獲得被動收入:免費插件WordPress推出兩個月后，已有超過300個網站正在使用該插件來產生被動收入。該插件是由Dragon Goren Holm的合伙人Alon Goren在四月份發布的，允許網站和博客運營商在其網站上添加加密貨幣交易平臺，并通過設定交易費用來賺取被動收入。（Decrypt）[2020/6/21]

這段代碼負責把代碼s3-redwood-labs-premint-xyz.com/cdn.min.js注入到頁面。

惡意代碼cdn.min.js

根據代碼內容，可以大致看到有通過調用dappradar.com的接口來查詢用戶的NFT資產列表。

如果用戶持有相關NFT資產：

惡意代碼會以Two-stepwallet驗證的借口，發起setApprovalForAll讓用戶授權給他們后端接口返回的地址。

如果用戶點了Approve，攻擊者還會調用監測代碼通知自己有人點擊了：

如果當用戶地址沒有NFT資產時，它還會嘗試直接發起轉移錢包里的ETH的資產請求：

另外這種代碼變量名加密成_0xd289_0x開頭的方式，我們曾經在play-otherside.org，thesaudisnfts.xyz這些釣魚網站也見到過。

根據用戶資產發起setApprovalForAll或者直接轉移ETH，并且阻止用戶使用開發者工具debug。

預防方式

那么作為普通用戶如何預防？現階段MetaMask對ERC721的setApprovalForAll的風險提示，遠沒有ERC20的Approve做得好。

即使很多新用戶無法感知到這個行為的風險，但我們作為普通用戶看到帶Approve之類的交易一定要仔細打開授權給相關地址，看看這些地址最近的交易是否異常，避免誤授權！

這種攻擊和上次Etherscan上Coinzilla利用廣告注入惡意的攻擊方式挺相似的，那么在技術上有沒有可能預防？

理論上如果已知一些惡意js代碼的行為和特征：

比如說代碼的加密方式

惡意代碼關鍵特征

代碼會反debug

會調用opensea,debank,dappradar等API查詢用戶資產

根據這些惡意代碼的行為特征庫，那么我們可以嘗試在客戶端網頁發起交易前，檢測頁面有沒有包含已知惡意特征的代碼來探測風險，或者直接更簡單一點，對常見的網站設立白名單機制，不是交易類網站發起授權，給到足夠的風險提醒等。

接下來ScamSniffer和慢霧安全團隊也會嘗試探索一下如何在客戶端來預防此類的攻擊發生！

Ps.感謝作者ScamSniffer的精彩分析！

Tags：PREMININTAPPPayexpressMintWaycointiger如何提現區塊鏈dapp開發費多少錢

Filecoin