警惕Free Mint新騙局：參與Premint中獎后資產被盜_MIN

本文梳理自Web3創作者工具應用Sprise和Pally.gg聯合創始人MontanaWong在個人社交媒體平臺上的觀點，BlockBeats對其整理翻譯如下：「degenmeta」是NFT領域的當前趨勢，團隊以FreeMint的形式啟動項目，很少或直接不提供項目路線圖，這種形式被諸如goblintown等項目成功帶火。這種形式在熊市中很好，因為FreeMint起碼不會虧本。騙子們利用這一點。他們現在不再創建虛假項目來騙取你的ETH，而是營造FOMO氣氛誘導你參加免費的「degen」Mint項目，騙你授予他們權限轉走你錢包里NFT。通常他們首先使用Premint等合法服務，為他們的預售名單抽獎。Premint不會對使用他們服務的項目做任何審查，但很多人不知道這一點，還以為這些抽獎活動「有Premint背書」。

美國SEC發布投資者公告：警惕加密資產計息賬戶的風險:金色財經報道，美國SEC投資者教育宣傳辦公室和執法部門的零售戰略工作組正在發布投資者公告，以教育投資者關于對加密資產存款支付利息的賬戶的風險。SEC稱，加密資產，包括加密貨幣、穩定幣、代幣和其他數字資產，在過去幾年里，散戶投資者的興趣逐漸加大。本投資者公告強調了最近一種與加密資產有關的金融產品可能涉及的風險，用于持有加密資產的計息賬戶。

1.與銀行存款不同，這些產品聽起來可能類似于銀行或信用社的計息賬戶，但投資者需要注意的是，這些與加密貨幣資產有關的賬戶并不像銀行或信用社的存款那樣安全。

2.加密貨幣資產投資的風險，在計息賬戶中持有的加密資產可能被用于投資各種與加密資產相關的產品、計劃或其他活動，包括將加密資產借給借款人的借貸項目。支付給你的利息是基于這些投資活動。 其中包括：加密資產市場的波動性和流動性不足；持有你的加密資產的公司可能會倒閉或破產的風險；不可預測性，包括特定加密資產的市場可能完全消失，或者加密資產可能不再在任何地方交易；聯邦、州或外國政府可能限制加密資產的使用和交換的監管變化；如果發生欺詐、違約或錯誤，則無法整頓；和潛在的欺詐、技術故障、黑客或惡意軟件。[2022/3/16 13:58:42]

騰訊御見：警惕BasedMiner挖礦木馬爆破SQL弱口令攻擊:騰訊安全威脅情報中心檢測到針對Windows服務器進行攻擊的挖礦木馬BasedMiner。該挖礦木馬團伙主要針對MS SQL服務進行爆破弱口令攻擊，爆破成功后會下載Gh0st遠控木馬對系統進行控制，還會利用多個Windows漏洞進行提權攻擊獲得系統最高權限，最后植入門羅幣挖礦木馬進行挖礦，目前已獲利8000元。[2020/7/19]

更糟糕的是，Premint允許抽獎創建者提出某些要求，例如「必須持有1枚MoonbirdsNFT」才能參加。這可以在不經過原項目方同意的情況下，搞出假裝得到官方認可的虛假抽獎活動。「白名單預售」時你仍然會用持有高價值NFT的錢包參與鑄造，因為最初參與抽獎需要用到它們。這就是你的NFT會被盜的地方，讓我們看看這是如何進行的。今天這一騙局出現了一個新版本「aLLtHiNgbEgiNs」，導致幾枚高價值的MoonbirdsNFT被盜。如果你去他們的網站，它看起來就像一個典型的擺爛FreeMint項目，帶有連接錢包和Mint選項。不過一旦你深入了解，就會發現這個網站絕不是這么簡單。

法國金融市場管理局提醒公眾警惕未經授權的數字貨幣公司:據financemagnates消息，法國金融市場管理局（AMF）近期提醒公眾要警惕未經授權的數字貨幣公司，且在其“非法向國內民眾提供投資服務的公司”名單中添加了數個網站。同時AMF還要求相關經紀公司在提供數字貨幣相關產品之前需向監管機構尋求許可。[2018/6/19]

可以注意到的第一件事，就是他們網站的大量代碼都復制自goblintown網站。

其次，如果你查看頁面上的JavaScript，有一個名為signupxx44777.js的文件，這就是漏洞所在。

連接錢包后，該代碼就會開始運作，字面上寫著「drainNFTs」。然而該代碼的真正目的是：1.瀏覽你地址里的內容2.使用OpenSea的API來確定哪個是你最值錢的NFT3.識別出你最值錢的NFT并找到它的智能合約信息4.一旦你點擊「mint」，它就會產生一筆交易與你最值錢的NFT的合約發生交互，這一setApprovalForAll交易會授予騙子轉走你NFT的權限因此，盡管你認為你只是執行了一次典型的FreeMint交易，但實際上你已經允許騙子從你的錢包中轉走那些你最值錢的NFT，簡單粗暴。總之，這一漏洞利用的工作原理如下：1.圍繞免費的DegenMint項目進行炒作，使用Premint等合法工具誘使高價值錢包參與2.創建一個帶有惡意JavaScript的網站，掃描你的錢包以獲得最高價值的NFT3.虛假的Mint選項，實際不會產生一筆Mint交易，而會創建一筆授予騙子轉走你NFT權限的惡意交易4.用相同的代碼在不同的「項目」下重復步驟1-3這些騙局中大部分可能都是一個人搞出來的，一定要注意安全。如果你認為自己受到了這些騙局之一的影響，你可以通過revoke.cash撤銷對所有值錢NFT的訪問權限，或盡快將它們轉移至硬件錢包。原地址

Tags：MININTMINTNFT郭家毅gemini女友染染怎么認識的FingerprintsDAOPlayerMintNFT Alley

Luna