NFT訪問工具PREMINT遭黑，損失超37萬美元_NFT

原文作者：茉莉

「不要授權任何顯示為『setapprovalsforall』的交易！」北京時間7月17日下午，NFT訪問列表工具PREMINT通過官方推特發布預警。因為有用戶提醒，該工具的網站被黑客入侵，已經有NFT收藏家的藏品被盜。

隨后，區塊鏈安全機構慢霧確認，PREMINT網站遭黑客攻擊，黑客在網站中通過植入惡意JS文件來實施釣魚攻擊，欺騙用戶簽名「setapprovalsforall」的交易，從而盜竊用戶的NFT資產。

另一家安全機構Certik追蹤到了6個與黑客攻擊有關的主要地址，「大約價值275ETH的NFT被盜。」用戶被盜的NFT涉及BoredApeYachtClub、Otherside、Moonbirds、Oddities和Goblintown等知名NFT。

Magic Eden與Elixir合作推出自助式NFT創作和分發平臺“CreatorX”:金色財經報道，NFT市場Magic Eden在社交媒體宣布與Elixir NFT合作，雙方將推出一個針對藝術家的自助式NFT創作和分發平臺“CreatorX”，旨在為用戶提供用戶友好且無代碼的NFT創建服務，該平臺還將提供低費用鑄幣、空投和兌現工具，未來也將拓展到開發基于NFT的游戲、體驗等，并幫助Web2開發人員和機構用戶探索SOL應用。另據Dapprader最新數據顯示，當前Magic Eden平臺交易總額達到21.9億美元，交易者總量約為145.6萬個。[2023/7/18 11:01:03]

PREMINT和安全機構均提示用戶，使用該網站的用戶需要檢查自己的錢包授權設置，可使用以太坊瀏覽器或Revoke等專門工具取消錢包授權。

“無聊猿”BAYC發布超80種HV-MTL機甲NFT特征:金色財經報道，“無聊猿”BAYC在社交媒體上發布了一段視頻，其中展示了超過80種HV-MTL機甲NFT特征，并調侃配文“大約有不到1萬億種可能的組合”。HV-MTL系列由3萬枚“Evo 1”Mechs機甲NFT系列組成，通過銷毀下水道通證Sewer Pass可獲得，持有HV-MTL NFT將被允許訪問未來BAYC游戲和內容，但Evo 1和后續的“Evo 2之旅”目前均已推遲。據OpenSea最新數據顯示，當前HV-MTL地板價約為1.3 ETH，交易總額達到24,375 ETH。[2023/4/29 14:34:06]

PREMINT提示用戶停止授權交易

Doodles首席執行官：大多數NFT項目不會成功:金色財經報道，隨著行業對去年的事件感到不安，Doodles首席執行官Julian Holguin表示，我認為很多人肯定會感到痛苦。不幸的現實是，大多數開始的項目都無法度過這個時期。

Holguin指出，最近的一個挑戰是，像OpenSea和Blur這樣的NFT市場平臺之間的競爭已經導致創作者的版稅退居二線，可能在可用現金方面制約了一些項目。我們肯定對很多依賴次級版稅收入和諸如此類的項目感同身受，但我認為光明的日子即將到來。他補充說，熊市導致圍繞一些NFT項目的社區感到 \"更深的聯系感\"。[2023/2/26 12:30:00]

PREMINT可以預告各種NFT的發布，但無法預知黑客對它的入侵。7月17日，在有用戶報告NFT丟失后，PREMINT通過官方推特發出警報，「不要授權任何顯示為『setapprovalsforall』的交易！」

村上隆：將在東京GEISAI #21展覽中免費發放紀念NFT:8月11日消息，村上隆于社交媒體表示，將在東京GEISAI #21展覽中免費發放紀念NFT，該系列NFT共計11,664枚。據悉，GEISAI展為始于2002年的藝術家孵化活動，第21屆活動（GEISAI #21）將于8/21（周日）在東京國際展覽中心舉行。紀念NFT獲取需進入參觀活動場地，NFT空投現場將有二維碼。[2022/8/11 12:17:50]

今年3月底上線的PREMINT是一個訪問NFT列表的工具，它收集了市場上NFT的預售及贈品的列表，創作者可以通過該工具構建訪問列表，NFT收藏家則可以通過它隨時了解即將Mint的NFT商品。

PREMINT官網顯示，有超過12000個項目已使用它管理自己的訪問列表，有超過239萬個錢包鏈接了該工具。

7月17日，上百萬個鏈接錢包中還包括了黑客的惡意錢包。PREMINT表示，一個未知的第三方操縱了一個文件，導致用戶看到了一個惡意的錢包鏈接。

在在線的加密錢包上，點擊「setapprovalsforall」意味著用戶為所有人設置了「批準交易」，當這個授權被釣魚攻擊利用時，黑客將可以轉移你的加密資產。

OpenSea鏈接、用戶的推特名。

黑客從釣魚攻擊中獲利超37萬美元

PREMINT被攻擊后，安全機構慢霧發布了安全提醒，該機構披露，7月17日16時(UTC8)，premint.xyz遭遇黑客攻擊，黑客在該網站中通過植入惡意的JS文件來實施釣魚攻擊，欺騙戶簽名「SetApprovalForAll」的交易，從而盜取用戶的NFT等資產。

另一家安全機構Certik梳理了更詳細的PREMINT事件分析，該機構表示，一名黑客將惡意的JavaScript代碼上傳到premint.xyz，從而破壞了該網站。惡意代碼通過URL注入網站，然而，由于域名服務器不再存在，文件也就不再可用，「但這種鏈上攻擊的影響仍然可見。」

Certik披露，總共有6個地址與攻擊直接相關，攻擊是從UTC時間上午7時25分開始，因為有兩個惡意錢包地址在那時出現了轉移被盜NFT的動作，惡意代碼也很可能在那時被注入到PREMINT的官網網址中，這兩個錢包包含的NFT包括BoredApeYachtClub、Otherside、Oddities和Goblintown等，其余4個錢包參與了被盜NFT的轉移。

投資NFT和加密資產時會借助Web2網站的易用性，「但是，Web2基礎架構通常會通過集中化漏洞導致單點故障。」

Certik舉了一個例子——今年6月，在BAYC上發生過一起網絡釣魚攻擊，社區管理人BorisVagner的Discord賬戶遭到入侵，導致攻擊者在假BAYC網站的Discord頻道上發布了針對BAYC和Otherside持有者的虛假鏈接，這樣的釣魚方式讓攻擊者從被盜的NFT中獲利約31.9萬美元。

第二個例子是NFT藝術家Beeple的推特賬戶被盜事件，該事件導致他的推特粉絲損失了價值約43.8萬美元的NFT和加密資產。在第一次攻擊中，黑客向Beeple的推特關注者發布了一個協作鏈接，導致有用戶損失了大約7.3萬美元。隨后，第二次攻擊來襲，耗盡了關注者的加密資產和NFT錢包。

「這些攻擊表明，Web2存在中心化的脆弱性。」Certik認為，Web2的安全脆弱性出現時，會給NFT帶來「毀滅性的損失」。

Tags：NFTINTMINTMINNFTD幣JOINTbimintokenGemini染染回應分手

歐易交易所