Honderden NFT's en ether gestolen in Premint-hack
Hackers veranderen pop-up op website
Hackers hebben meer dan 300 NFT's en ruim 400k USD in ether buitgemaakt bij een hack bij NFT website Premint. Volgens blockchain security bedrijf CertiK zijn de hackers binnengekomen door een stukje code te plaatsen op de website van de populaire website. Tussen de NFT's zaten onder andere unieke exemplaren van de Bored Ape Yaught Club en Otherside. De hackers hebben de NFT's direct verkocht op OpenSea en het via verschillende adressen, waaronder 0x4ed... en 0x449... , witwgewassen via TornadoCash. Mixing services als deze zijn legaal, maar worden veel voor witwasdoeleinden gebruikt. De admins van Premint kregen pas laat door wat er exact aan de hand was en plaatsten een oproep op Twitter geen gebruik meer te maken van de Web3-koppeling.
Inloggen met je wallet
Op websites als Premint, OpenSea en Rarible maak je verbinding met het platform door een zogenaamde Web3-koppeling. Bij reguliere websites log je in met de combinatie gebruikersnaam/wachtwoord, wat we Web2 zijn gaan noemen. Bij Web3 websites log je niet in met een combinatie gebruikersnaam/wachtwoord maar met je Ethereum-wallet. De koppeling op de website vraagt toestemming om je wallet uit te lezen, waarna je bijvoorbeeld coins, tokens of NFT's kan kopen en verkopen. Dit zorgt onder andere voor direct kunnen handelen, maar ook voor meer privacy. Dat dergelijke koppelingen niet altijd veilig zijn, heeft de hack op Premint maar weer eens duidelijk gemaakt.