MIN:NFT訪問工具PREMINT遭黑，損失超37萬美元

原文作者：茉莉

「不要授權任何顯示為『setapprovalsforall』的交易！」北京時間7月17日下午，NFT訪問列表工具PREMINT通過官方推特發布預警。因為有用戶提醒，該工具的網站被黑客入侵，已經有NFT收藏家的藏品被盜。

隨后，區塊鏈安全機構慢霧確認，PREMINT網站遭黑客攻擊，黑客在網站中通過植入惡意JS文件來實施釣魚攻擊，欺騙用戶簽名「setapprovalsforall」的交易，從而盜竊用戶的NFT資產。

另一家安全機構Certik追蹤到了6個與黑客攻擊有關的主要地址，「大約價值275ETH的NFT被盜。」用戶被盜的NFT涉及BoredApeYachtClub、Otherside、Moonbirds、Oddities和Goblintown等知名NFT。

The Sandbox：育碧Rabbids NFT公開鑄造正式啟動:2月22日消息，The Sandbox在社交媒體宣布育碧Rabbids（瘋狂兔子）NFT公開鑄造現在已正式啟動，Rabbids NFT由游戲巨頭育碧在Polygon鏈上發布，總計2066枚，售價100 SAND，The Sandbox預計在二月底推出配套的元宇宙游戲。

去年2月報道，游戲巨頭育碧與The Sandbox達成合作，計劃引入旗下知名IP打造元宇宙空間。[2023/2/22 12:23:30]

PREMINT和安全機構均提示用戶，使用該網站的用戶需要檢查自己的錢包授權設置，可使用以太坊瀏覽器或Revoke等專門工具取消錢包授權。

昆汀·塔倫蒂諾將推進《低俗小說》劇本NFT的公開拍賣:1月5日消息，美國導演昆汀·塔倫蒂諾（Quentin Tarantino）周三宣布，他將推進《低俗小說》劇本NFT的公開拍賣。此前該電影制作方美國娛樂巨頭Miramax已對塔倫蒂諾提起訴訟，該公司聲稱擁有《低俗小說》的版權，而塔倫蒂諾對Miramax隱瞞了他的《低俗小說》NFT計劃。Miramax 在訴狀中指控昆汀違反合同、不正當競爭和商標侵權。塔倫蒂諾和他的合作伙伴SCRT Labs計劃在1月17日至1月31日期間拍賣《低俗小說》的六章劇本。個人必須預先注冊才能購買該NFT，拍賣將于1月10日開啟注冊。該系列中的NFT基于以太坊區塊鏈，用戶必須擁有ETH或兼容ETC-20的穩定幣才能購買。（The Block）[2022/1/5 8:27:33]

PREMINT提示用戶停止授權交易

Radio Caca將于9月16日14:00發行第一版民間宇航員紀念NFT:北京時間9月16日上午8點，SpaceX的獵鷹九號火箭將“龍”飛船和4位民間宇航員送上了太空。此次不同以往的非亞軌道飛行，是真正意義上的第一次民間宇航員脫離地球引力暢游太空。

Radio Caca為了紀念這一歷史性時刻，推出SpaceX第一版NFT宇航狗(SpaceXNaut Dog)，簡稱SNG。SNG于北京時間9月16日下午2點發售，定價僅為1萬RACA，約5美元。同時，Radio Caca也將SNG向此前發售的Maye Musk神秘盒子NFT空投。

Radio Caca此次發行的SpaceX宇航狗NFT，官方強調僅作為紀念品供收藏用，不會進行任何賦能。[2021/9/16 23:29:08]

PREMINT可以預告各種NFT的發布，但無法預知黑客對它的入侵。7月17日，在有用戶報告NFT丟失后，PREMINT通過官方推特發出警報，「不要授權任何顯示為『setapprovalsforall』的交易！」

Antimatter推出NFT藝術盲盒Lockdrop:9月5日消息，跨鏈永續衍生品協議Antimatter推出NFT藝術盲盒Lockdrop，即將啟動第一階段投放。Antimatter表示，Lockdrop由66件來自Antimatter社區成員的手繪藝術品組成，這些藝術作品是免費提供的，用戶只需要質押一部分代幣，就可以開啟一個盲盒領取NFT，當質押結束解鎖時，用戶可領回資產。[2021/9/5 23:01:54]

今年3月底上線的PREMINT是一個訪問NFT列表的工具，它收集了市場上NFT的預售及贈品的列表，創作者可以通過該工具構建訪問列表，NFT收藏家則可以通過它隨時了解即將Mint的NFT商品。

PREMINT官網顯示，有超過12000個項目已使用它管理自己的訪問列表，有超過239萬個錢包鏈接了該工具。

7月17日，上百萬個鏈接錢包中還包括了黑客的惡意錢包。PREMINT表示，一個未知的第三方操縱了一個文件，導致用戶看到了一個惡意的錢包鏈接。

在在線的加密錢包上，點擊「setapprovalsforall」意味著用戶為所有人設置了「批準交易」，當這個授權被釣魚攻擊利用時，黑客將可以轉移你的加密資產。

OpenSea鏈接、用戶的推特名。

黑客從釣魚攻擊中獲利超37萬美元

PREMINT被攻擊后，安全機構慢霧發布了安全提醒，該機構披露，7月17日16時(UTC8)，premint.xyz遭遇黑客攻擊，黑客在該網站中通過植入惡意的JS文件來實施釣魚攻擊，欺騙戶簽名「SetApprovalForAll」的交易，從而盜取用戶的NFT等資產。

另一家安全機構Certik梳理了更詳細的PREMINT事件分析，該機構表示，一名黑客將惡意的JavaScript代碼上傳到premint.xyz，從而破壞了該網站。惡意代碼通過URL注入網站，然而，由于域名服務器不再存在，文件也就不再可用，「但這種鏈上攻擊的影響仍然可見。」

Certik披露，總共有6個地址與攻擊直接相關，攻擊是從UTC時間上午7時25分開始，因為有兩個惡意錢包地址在那時出現了轉移被盜NFT的動作，惡意代碼也很可能在那時被注入到PREMINT的官網網址中，這兩個錢包包含的NFT包括BoredApeYachtClub、Otherside、Oddities和Goblintown等，其余4個錢包參與了被盜NFT的轉移。

投資NFT和加密資產時會借助Web2網站的易用性，「但是，Web2基礎架構通常會通過集中化漏洞導致單點故障。」

Certik舉了一個例子——今年6月，在BAYC上發生過一起網絡釣魚攻擊，社區管理人BorisVagner的Discord賬戶遭到入侵，導致攻擊者在假BAYC網站的Discord頻道上發布了針對BAYC和Otherside持有者的虛假鏈接，這樣的釣魚方式讓攻擊者從被盜的NFT中獲利約31.9萬美元。

第二個例子是NFT藝術家Beeple的推特賬戶被盜事件，該事件導致他的推特粉絲損失了價值約43.8萬美元的NFT和加密資產。在第一次攻擊中，黑客向Beeple的推特關注者發布了一個協作鏈接，導致有用戶損失了大約7.3萬美元。隨后，第二次攻擊來襲，耗盡了關注者的加密資產和NFT錢包。

「這些攻擊表明，Web2存在中心化的脆弱性。」Certik認為，Web2的安全脆弱性出現時，會給NFT帶來「毀滅性的損失」。

Tags：NFTINTMINMINTDFNORM Vault (NFTX)interstellarchainMINITIGER價格MINTY幣

火必下載