警惕Free Mint新局：参与Premint中奖后资产被盗

作者：

时间：1900/1/1 0:00:00

原文作者：MontanaWong

原文编译：0x9F、czgsws，BlockBeats

本文梳理自Web3创作者工具应用?Sprise和Pally.gg联合创始人?MontanaWong?在个人社交媒体平台上的观点，BlockBeats对其整理翻译如下：

「degenmeta」是NFT领域的当前趋势，团队以FreeMint的形式启动项目，很少或直接不提供项目路线图，这种形式被诸如?goblintown?等项目成功带火。这种形式在熊市中很好，因为FreeMint起码不会亏本。

欧洲央行：需警惕稳定币与传统金融市场之间的联系:11月17日消息，欧洲央行在最新发布的金融稳定评估报告中表示，加密货币投资者越来越多地使用杠杆，这可能会导致巨大的、集中的损失。欧洲央行还警告称，稳定币与传统金融市场之间的联系日益紧密。欧洲央行承认，加密货币的受欢迎程度和相关性均有提高，但加密市场受到“投机性波动”的影响。（Coindesk）[2021/11/17 21:58:31]

子们利用这一点。他们现在不再创建虚假项目来取你的ETH，而是营造FOMO气氛诱导你参加免费的「degen」Mint项目，你授予他们权限转走你钱包里NFT。

DeFiBox安全提醒：警惕Heco链上APN假币风险:DeFi门户网站DeFiBox项目监测发现，目前Heco上搜索到的APN代币为假冒APN项目假币，且买入假币的用户无法卖出，安全风险极高。据了解，目前APN项目Token并未在Heco发行。

DeFiBox提醒广大用户全面了解项目信息，注意查看Token合约辨别真伪，杜绝假币风险。[2021/4/22 20:48:48]

通常他们首先使用Premint等合法服务，为他们的预售名单抽奖。Premint不会对使用他们服务的项目做任何审查，但很多人不知道这一点，还以为这些抽奖活动「有Premint背书」。

动态 | 新加坡：警惕冒充中国官员要求居民进行比特币转账的局:据Straits Times消息，新加坡在4月27日发布的警报中称，有人冒充中国官员，要求受害者使用比特币机器转账，请居民不要上当受。于4月18日发现Tampines One购物中心的故意破坏案件。接受调查的45岁男子透露，他接到自称外国执法人员的电话。“官员”声称该名男子因跨国犯罪正在接受调查。该名男子被告知两次使用Tampines One的比特币机器向其账户转账总计1000美元。他表示自己“官员”的指示移除并处理机器旁边的警告海报。正在继续调查此案。称，新加坡政府机构不会要求通过电话或社交平台（比如微信或Facebook）付款，或者要求您向匿名人士提交现金；也不会要求个人银行信息，如网银密码。外国居民如果接到自称是本国警察或政府官员的电话，应该打电话给大使馆或高级专员公署，核实来电者的说法。不要在网站上或电话向来电者提供个人信息和银行详细信息，不要根据来电者的指示进行任何资金转账。[2019/4/27]

更糟糕的是，Premint允许抽奖创建者提出某些要求，例如「必须持有1枚MoonbirdsNFT」才能参加。这可以在不经过原项目方同意的情况下，搞出假装得到官方认可的虚假抽奖活动。

「白名单预售」时你仍然会用持有高价值NFT的钱包参与铸造，因为最初参与抽奖需要用到它们。这就是你的NFT会被盗的地方，让我们看看这是如何进行的。

今天这一局出现了一个新版本「aLLtHiNgbEgiNs」，导致几枚高价值的MoonbirdsNFT被盗。

如果你去他们的网站，它看起来就像一个典型的摆烂FreeMint项目，带有连接钱包和Mint选项。不过一旦你深入了解，就会发现这个网站绝不是这么简单。

可以注意到的第一件事，就是他们网站的大量代码都复制自?goblintown?网站。

其次，如果你查看页面上的JavaScript，有一个名为signupxx44777.js的文件，这就是漏洞所在。

连接钱包后，该代码就会开始运作，字面上写着「drainNFTs」。然而该代码的真正目的是：

1.浏览你地址里的内容?

2.使用OpenSea的API来确定哪个是你最值钱的NFT?

3.识别出你最值钱的NFT并找到它的智能合约信息

4.一旦你点击「mint」，它就会产生一笔交易与你最值钱的NFT的合约发生交互，这一setApprovalForAll交易会授予子转走你NFT的权限

因此，尽管你认为你只是执行了一次典型的FreeMint交易，但实际上你已经允许子从你的钱包中转走那些你最值钱的NFT，简单粗暴。