創(chuàng)作者：茉莉花
全文文章標(biāo)題及連接：《NFT訪問工具PREMINT遭黑 損失超37萬美元》

「不必受權(quán)一切表明為『set approvals for all』的買賣！」中國(guó)北京時(shí)間7月17日在下午，NFT瀏覽列表專用工具PREMINT根據(jù)官方網(wǎng)twiter公布預(yù)警信息。由于有用戶提示，該專用工具的網(wǎng)址被黑客侵入，早已有NFT收藏者的收藏品被盜。

接著，區(qū)塊鏈技術(shù)安全機(jī)構(gòu)慢霧確定，PREMINT網(wǎng)址遭黑客進(jìn)攻，黑客在網(wǎng)址中通過嵌入故意JS（JavaScript）文檔來執(zhí)行釣魚攻擊，出軌用戶簽字「set approvals for all」的買賣，進(jìn)而偷盜用戶的NFT財(cái)產(chǎn)。

另一家安全機(jī)構(gòu) Certik 跟蹤到6個(gè)與黑客進(jìn)攻相關(guān)的關(guān)鍵詳細(xì)地址，「大概使用價(jià)值280 ETH（約38.1萬美金）的NFT被盜。」用戶被盜的NFT涉及到Bored Ape Yacht Club、Otherside、Moonbirds、Oddities 和 Goblintown 等著名NFT。

PREMINT?和安全機(jī)構(gòu)均提醒用戶，應(yīng)用該網(wǎng)址的用戶必須檢查自己的錢包受權(quán)設(shè)定，可使用以太幣電腦瀏覽器或Revoke等專業(yè)專用工具撤銷錢包受權(quán)。

PREMINT提醒用戶終止受權(quán)買賣

PREMINT 能夠預(yù)告片各種各樣 NFT 的公布，但無法預(yù)知黑客對(duì)它侵入。7月17日，在有用戶匯報(bào)NFT遺失后，PREMINT根據(jù)官方網(wǎng)twiter傳出報(bào)警，「不必受權(quán)一切表明為『set approvals for all』的買賣！」

在今年的3月底發(fā)布的 PREMINT 是一個(gè)瀏覽NFT列表的專用工具，它收集了銷售市場(chǎng)上NFT的預(yù)購(gòu)及贈(zèng)送品的列表，原創(chuàng)者能通過該專用工具搭建瀏覽列表，NFT收藏者則能通過它隨時(shí)隨地掌握將要Mint（公布或鍛造）的NFT產(chǎn)品。

PREMINT 官方網(wǎng)站表明，有超出12000個(gè)新項(xiàng)目已使用它控制自己的瀏覽列表，有超出239萬只錢包連接了該專用工具。

7月17日，幾百萬個(gè)連接錢包中還包括了黑客的故意錢包。PREMINT表明，一個(gè)不明的第三方控制了一個(gè)文檔，造成用戶看見了一個(gè)虛假的錢包連接。

在線上的數(shù)據(jù)加密錢包上，點(diǎn)一下「set approvals for all」代表著用戶為每個(gè)人設(shè)置了「準(zhǔn)許買賣」，當(dāng)這一受權(quán)被釣魚攻擊運(yùn)用時(shí)，黑客將能夠遷移你加密資產(chǎn)。

PREMINT逐漸統(tǒng)計(jì)分析被盜用戶的信息內(nèi)容

進(jìn)攻產(chǎn)生后，PREMINT提示用戶，運(yùn)用能夠取消授權(quán)的Revoke工具撤消受權(quán)，并把所有珍貴的NFT遷移到別的錢包中。另有NFT用戶提示，也可以用以太幣官方瀏覽器的「Token Approval」專用工具撤消錢包受權(quán)。

目前為止，早已有6個(gè)以太幣詳細(xì)地址被標(biāo)識(shí)為與本次進(jìn)攻相關(guān)的「釣魚攻擊黑客」詳細(xì)地址。今天一早，PREMINT?在官方網(wǎng)推特上發(fā)布了申請(qǐng)表連接，以整理和統(tǒng)計(jì)分析被盜用戶的信息內(nèi)容，包含受影響的錢包詳細(xì)地址、被盜NFT錢包的OpenSea鏈接、用戶的推特名。

黑客從釣魚攻擊中盈利超38萬美金

PREMINT受到攻擊后，安全機(jī)構(gòu)慢霧發(fā)布了安全提醒，該組織公布，7月17日16時(shí)(UTC 8)，premint.xyz遭受黑客進(jìn)攻，黑客在該網(wǎng)址中通過嵌入故意的JS（JavaScript）文檔來執(zhí)行釣魚攻擊，出軌戶簽字 「Set Approval For All」的買賣，進(jìn)而竊取用戶的 NFT 等財(cái)產(chǎn)。

另一家安全機(jī)構(gòu) Certik 整理了更詳盡的 PREMINT 事件分析，該公司表達(dá)，一名黑客將故意的JavaScript代碼上傳入premint.xyz，進(jìn)而毀壞了該網(wǎng)址。惡意程序根據(jù)URL引入網(wǎng)址，但是，因?yàn)榉?wù)器域名不會(huì)再存有，文檔也就不會(huì)再可以用，「但這類鏈上進(jìn)攻的危害依然由此可見。」

Certik 公布，一共有6個(gè)詳細(xì)地址與進(jìn)攻立即有關(guān)，進(jìn)攻是以UTC 時(shí)長(zhǎng)早上7時(shí)25分逐漸，由于有2個(gè)故意錢包詳細(xì)地址（0x0C979……和0x28733……）在那時(shí)候出現(xiàn)遷移被盜NFT的姿勢(shì)，惡意程序也很有可能在當(dāng)時(shí)被引入到PREMINT的官網(wǎng)網(wǎng)址中，這兩個(gè)錢包包括的NFT包括 Bored Ape Yacht Club（BAYC）、Otherside、Oddities 和 Goblintown等，其他4個(gè)錢包參加了被盜NFT的遷移。

黑客詳細(xì)地址遷移了竊取的Goblintown NFT

「這兩個(gè)錢包共偷走了314個(gè)NFT，包含BAYC、Otherside、Globlintownm 等，」Certik統(tǒng)計(jì)分析，本次進(jìn)攻一共損害了約 280 ETH，額度為381818 美金，使之變成在今年的較大的 NFT 黑客進(jìn)攻之一。

雖然NFT是Web3的物質(zhì)，但Certik在事件分析中表明，Web2一直是互聯(lián)網(wǎng)的關(guān)鍵情況，用戶在項(xiàng)目投資 NFT和加密資產(chǎn)的時(shí)候會(huì)依靠Web2網(wǎng)址的便捷性，「可是，Web2 系統(tǒng)架構(gòu)一般會(huì)根據(jù)集中系統(tǒng)漏洞造成服務(wù)器宕機(jī)。」

Certik舉了一個(gè)案例——現(xiàn)在 6 月，在BAYC上發(fā)生過一起互聯(lián)網(wǎng)釣魚攻擊，社區(qū)治理人Boris Vagner的Discord 帳戶遭受侵入，造成網(wǎng)絡(luò)攻擊在假BAYC網(wǎng)址的Discord 頻道欄目上發(fā)布了對(duì)于BAYC和 Otherside 持有人的虛報(bào)連接，這種釣魚方式讓網(wǎng)絡(luò)攻擊從被盜的NFT中獲益約31.9萬美金。

第二個(gè)案例是NFT藝術(shù)大師 Beeple的twiter帳戶被盜事情，該事情造成他們的推特粉絲損害了使用價(jià)值約43.8萬元的 NFT 和加密資產(chǎn)。在第一次進(jìn)攻中，黑客向Beeple的推特關(guān)注者發(fā)布了一個(gè)合作連接，造成有用戶損害了大概 7.3萬美金。接著，第二次進(jìn)攻襲來，耗盡了關(guān)注者的加密資產(chǎn)和NFT錢包。

「這種進(jìn)攻說明，Web2存有去中心化的易損性。」Certik覺得，Web2的安全性易損性發(fā)生時(shí)，會(huì)給NFT產(chǎn)生「毀滅性的損害」。

你使用過 PREMINT 網(wǎng)址嗎？