Nền tảng NFT mất trắng hơn 400.000 USD chỉ trong vài phút

Hacker xâm nhập vào nền tảng NFT nổi tiếng Premint và dùng cửa sổ pop-up giả để dụ người dùng cung cấp thông tin ví.

Vụ việc diễn ra ngày 17/7, khiến ít nhất 320 NFT trị giá hơn 400.000 USD bị đánh cắp, đánh dấu một trong những vụ hack lớn nhất trong năm nay.

Theo phân tích của công ty bảo mật blockchain CertiK, nhóm hacker xâm nhập trang web Premint bằng mã độc JavaScript. Sau đó, họ tạo cửa sổ pop-up giả trong trang web yêu cầu người dùng xác minh quyền sở hữu ví của họ.

Nhiều người dùng nhanh chóng nhận ra điểm khác thường và lập tức đăng bài cảnh báo trên Twitter và Discord. Dù vậy, chỉ trong vài phút, nhóm hacker đã kịp lừa một số khách hàng của Premint.

NFT bị lấy mất bao gồm những bộ sưu tập nổi tiếng như Bored Ape Yatch Club, Otherside, Moonbirds Oddities và Goblintown. Sau khi lấy được NFT, nhóm hacker rao bán trên marketplace OpenSea. Một NFT Bored Ape đã được bán với giá 89 ETH, tương đương 132.000 USD.

Trong ngày 17/7, tổng giá trị hacker chiếm đoạt lên tới 275 ETH, tức khoảng hơn 400.000 USD.

Sau đó, hacker gửi tiền đến Tornado Cash, một giao thức tập hợp và “trộn” các khoản tiền gửi của nhiều người dùng để xóa sạch dấu vết kỹ thuật số thường để lại bởi giao dịch blockchain. Tornado Cash là công cụ hàng đầu mà tội phạm mạng thường tận dụng để rửa tiền mã hóa sau những vụ tấn công.

Hôm 18/7, Premint đã lên Twitter thừa nhận vụ việc và cam kết với khách hàng phần lớn tài khoản không bị ảnh hưởng.

"Nhờ cảnh báo tích cực của cộng đồng Web3, chỉ một lượng khá nhỏ người dùng bị mắc bẫy", theo thông báo trên Twitter của công ty.

Tuy nhiên, một số người dùng Premint cho rằng trang web đã bị tấn công suốt 10 giờ. Các nạn nhân hoang mang không biết Premint có hoàn lại giá trị NFT họ bị mất hay không.

Premint đã tích lũy dữ liệu của những NFT bị thiệt hại trong vụ hack. Đáng chú ý, vài ngày trước khi sự cố xảy ra, công ty đã lên kế hoạch công bố tính năng bảo mật mới. Theo bản cập nhật, người dùng có thể đăng nhập vào Premint thông qua Twitter hoặc Discord mà không cần trực tiếp nhập thông tin ví.

Nếu được phát hành sớm hơn, phương thức này có khả năng bảo vệ khách hàng khỏi vụ việc vừa qua. Ban điều hành Premint đã quyết định triển khai tính năng này trước ​​vài ngày so với dự kiến.