NFT访问工具PREMINT遭黑，损失超37万美元

原文作者：茉莉

「不要授权任何显示为『setapprovalsforall』的交易！」北京时间7月17日下午，NFT访问列表工具PREMINT通过官方推特发布预警。因为有用户提醒，该工具的网站被黑客入侵，已经有NFT收藏家的藏品被盗。

随后，区块链安全机构慢雾确认，PREMINT网站遭黑客攻击，黑客在网站中通过植入恶意JS文件来实施钓鱼攻击，用户签名「setapprovalsforall」的交易，从而盗窃用户的NFT资产。

另一家安全机构Certik追踪到了6个与黑客攻击有关的主要地址，「大约价值275ETH的NFT被盗。」用户被盗的NFT涉及BoredApeYachtClub、Otherside、Moonbirds、Oddities和Goblintown等知名NFT。

社区对Polygon主网功能批评影响了整体情绪，NFT和DeFi受到影响:金色财经报道，Polygon 的联合创始人 Sandeep Nailwal 此前在社交媒体上谈到 Polygon 主网的功能。但是，一些用户对此不满意。许多用户反对 zkEVM 与以太坊进行比较。在加密社区发表批评意见后不久，Polygon Labs 总裁 Ryan Wyatt 道歉并声称“团队之间存在脱节”。

受次影响，Polygon 在社交方面的活动激增，根据LunarCrush的数据，Polygon 的社交提及量增加了 38.74%。

过去一周围绕 Polygon 的负面情绪也有所增加。最近几天 NFT 的日交易量从 10,903 笔下降到 2,090 笔。DeFi 领域的存在也有所下降，Polygon 的 TVL 在过去几天从 12.4 亿美元减少到 11.6 亿美元。[2023/2/28 12:34:08]

PREMINT和安全机构均提示用户，使用该网站的用户需要检查自己的钱包授权设置，可使用以太坊浏览器或Revoke等专门工具取消钱包授权。

数据：年初以来，NFT月度市场交易量下滑94%:7月2日消息，The Block数据显示，NFT市场交易量已从1月份的166亿美元下降至6月的略高于10亿美元，降幅达94%。

分析师认为，年初NFT交易量的很大一部分可能来自于部分NFT市场上的“wash trading（清洗交易）\"。此外，近几个月来NFT的地板价也有所下降，BAYC、Doodles和CoolCats等蓝筹项目的地板价已经下跌30%左右。[2022/7/2 1:45:47]

PREMINT提示用户停止授权交易

PREMINT可以预告各种NFT的发布，但无法预知黑客对它的入侵。7月17日，在有用户报告NFT丢失后，PREMINT通过官方推特发出警报，「不要授权任何显示为『setapprovalsforall』的交易！」

报告：第一季度调整后DeFi TVL增长50％ NFT交易量增长超25倍:CoinDesk今日发布了2021年第一季度行业趋势报告。报告称，经过一年的指数增长和活动之后，去中心化金融（DeFi）已开始降温。在2021年第一季度，DeFi应用程序的加密资产管理总规模的美元价值似乎增长了150％，从大约200亿美元增至500亿美元。但是，大部分活动反映了以太坊和其他基于以太坊的代币的美元价值不断上升，而不是所管理的加密资产实际数量的增长。在调整此“价格效应”后，可以看到DeFi的总锁定价值（TVL）在本季度增长了50％，并在3月底逐步修正。此外，去中心化交易所（DEX）的交易量也出现了类似的稳定增长模式，并且在第一季度末略有下降。抢走DeFi风头的是NFT行业，交易量增长了25倍以上，某些市场的估值超过20亿美元。[2021/4/22 20:45:40]

今年3月底上线的PREMINT是一个访问NFT列表的工具，它收集了市场上NFT的预售及赠品的列表，创作者可以通过该工具构建访问列表，NFT收藏家则可以通过它随时了解即将Mint的NFT商品。

NFT市场Zora筹集近800万美元资金:金色财经报道，SEC监管文件显示，NFT市场Zora已通过股权销售筹集了近800万美元。共五位投资者参与，他们的身份目前还不得而知。目前尚不清楚筹集的资金是否包括去年10月的200万美元种子轮融资。[2021/4/1 19:34:59]

PREMINT官网显示，有超过12000个项目已使用它管理自己的访问列表，有超过239万个钱包链接了该工具。

7月17日，上百万个链接钱包中还包括了黑客的恶意钱包。PREMINT表示，一个未知的第三方操纵了一个文件，导致用户看到了一个恶意的钱包链接。

在在线的加密钱包上，点击「setapprovalsforall」意味着用户为所有人设置了「批准交易」，当这个授权被钓鱼攻击利用时，黑客将可以转移你的加密资产。

OpenSea链接、用户的推特名。

黑客从钓鱼攻击中获利超37万美元

PREMINT被攻击后，安全机构慢雾发布了安全提醒，该机构披露，7月17日16时(UTC8)，premint.xyz遭遇黑客攻击，黑客在该网站中通过植入恶意的JS文件来实施钓鱼攻击，户签名「SetApprovalForAll」的交易，从而盗取用户的NFT等资产。

另一家安全机构Certik梳理了更详细的PREMINT事件分析，该机构表示，一名黑客将恶意的JavaScript代码上传到premint.xyz，从而破坏了该网站。恶意代码通过URL注入网站，然而，由于域名服务器不再存在，文件也就不再可用，「但这种链上攻击的影响仍然可见。」

Certik披露，总共有6个地址与攻击直接相关，攻击是从UTC时间上午7时25分开始，因为有两个恶意钱包地址在那时出现了转移被盗NFT的动作，恶意代码也很可能在那时被注入到PREMINT的官网网址中，这两个钱包包含的NFT包括BoredApeYachtClub、Otherside、Oddities和Goblintown等，其余4个钱包参与了被盗NFT的转移。

投资NFT和加密资产时会借助Web2网站的易用性，「但是，Web2基础架构通常会通过集中化漏洞导致单点故障。」

Certik举了一个例子——今年6月，在BAYC上发生过一起网络钓鱼攻击，社区管理人BorisVagner的Discord账户遭到入侵，导致攻击者在假BAYC网站的Discord频道上发布了针对BAYC和Otherside持有者的虚假链接，这样的钓鱼方式让攻击者从被盗的NFT中获利约31.9万美元。

第二个例子是NFT艺术家Beeple的推特账户被盗事件，该事件导致他的推特粉丝损失了价值约43.8万美元的NFT和加密资产。在第一次攻击中，黑客向Beeple的推特关注者发布了一个协作链接，导致有用户损失了大约7.3万美元。随后，第二次攻击来袭，耗尽了关注者的加密资产和NFT钱包。

「这些攻击表明，Web2存在中心化的脆弱性。」Certik认为，Web2的安全脆弱性出现时，会给NFT带来「毁灭性的损失」。

标签：NFTINTMINMINTNftimeNintia EstateMINISPORTZMINTYS币

Fil热门资讯