Vụ việc diễn ra ngày 17/7, khiến ít nhất 320 NFT trị giá hơn 400.000 USD bị đánh cắp, đánh dấu một trong những vụ hack lớn nhất trong năm nay.
Theo phân tích của công ty bảo mật blockchain CertiK, nhóm hacker xâm nhập trang web Premint bằng mã độc JavaScript. Sau đó, họ tạo cửa sổ pop-up giả trong trang web yêu cầu người dùng xác minh quyền sở hữu ví của họ.
Nhiều người dùng nhanh chóng nhận ra điểm khác thường và lập tức đăng bài cảnh báo trên Twitter và Discord. Dù vậy, chỉ trong vài phút, nhóm hacker đã kịp lừa một số khách hàng của Premint.
Người dùng cảnh báo trên Twitter việc Premint bị hack. Ảnh: Cryptovalley. |
NFT bị lấy mất bao gồm những bộ sưu tập nổi tiếng như Bored Ape Yatch Club, Otherside, Moonbirds Oddities và Goblintown. Sau khi lấy được NFT, nhóm hacker rao bán trên marketplace OpenSea. Một NFT Bored Ape đã được bán với giá 89 ETH, tương đương 132.000 USD.
Trong ngày 17/7, tổng giá trị hacker chiếm đoạt lên tới 275 ETH, tức khoảng hơn 400.000 USD.
Sau đó, hacker gửi tiền đến Tornado Cash, một giao thức tập hợp và “trộn” các khoản tiền gửi của nhiều người dùng để xóa sạch dấu vết kỹ thuật số thường để lại bởi giao dịch blockchain. Tornado Cash là công cụ hàng đầu mà tội phạm mạng thường tận dụng để rửa tiền mã hóa sau những vụ tấn công.
Hôm 18/7, Premint đã lên Twitter thừa nhận vụ việc và cam kết với khách hàng phần lớn tài khoản không bị ảnh hưởng.
"Nhờ cảnh báo tích cực của cộng đồng Web3, chỉ một lượng khá nhỏ người dùng bị mắc bẫy", theo thông báo trên Twitter của công ty.
Tuy nhiên, một số người dùng Premint cho rằng trang web đã bị tấn công suốt 10 giờ. Các nạn nhân hoang mang không biết Premint có hoàn lại giá trị NFT họ bị mất hay không.
Premint đã tích lũy dữ liệu của những NFT bị thiệt hại trong vụ hack. Đáng chú ý, vài ngày trước khi sự cố xảy ra, công ty đã lên kế hoạch công bố tính năng bảo mật mới. Theo bản cập nhật, người dùng có thể đăng nhập vào Premint thông qua Twitter hoặc Discord mà không cần trực tiếp nhập thông tin ví.
Nếu được phát hành sớm hơn, phương thức này có khả năng bảo vệ khách hàng khỏi vụ việc vừa qua. Ban điều hành Premint đã quyết định triển khai tính năng này trước vài ngày so với dự kiến.
Đây không phải lần đầu tiên những kẻ lừa đảo nhắm vào thị trường NFT. Chỉ tính riêng năm 2021, tổng giá trị bị hack đã lên đến 25 tỷ USD. Hồi tháng 2 năm nay, một vụ lừa đảo trực tuyến trên OpenSea đã lấy đi số NFT trị giá hơn 1,7 triệu USD.
Vào tháng 4, tài khoản Instagram của Bored Ape Yatch Club bị tấn công và trộm mất NFT trị giá 2,8 triệu USD. Tháng trước, nam diễn viên Seth Green đã trả gần 300.000 USD để chuộc lại NFT Bored Ape bị đánh cắp mà ông dự định đưa vào bộ phim truyền hình sắp tới.
Mặc dù sở hữu lượng vốn rất lớn, tính bảo mật của NFT, đặc biệt là khi được kết nối với những công ty tập trung như Premint, luôn là điều đáng lưu tâm.