NFT訪問工具PREMINT遭黑，損失超37萬美元_MINT

原文作者：茉莉

「不要授權任何顯示為『setapprovalsforall』的交易！」北京時間7月17日下午，NFT訪問列表工具PREMINT通過官方推特發布預警。因為有用戶提醒，該工具的網站被黑客入侵，已經有NFT收藏家的藏品被盜。

隨后，區塊鏈安全機構慢霧確認，PREMINT網站遭黑客攻擊，黑客在網站中通過植入惡意JS文件來實施釣魚攻擊，欺騙用戶簽名「setapprovalsforall」的交易，從而盜竊用戶的NFT資產。

另一家安全機構Certik追蹤到了6個與黑客攻擊有關的主要地址，「大約價值275ETH的NFT被盜。」用戶被盜的NFT涉及BoredApeYachtClub、Otherside、Moonbirds、Oddities和Goblintown等知名NFT。

Salesforce為品牌客戶推出用于創建和銷售NFT的云服務:6月8日消息，客戶關系管理軟件服務提供商Salesforce推出一項針對消費者、時尚和媒體品牌的云服務，用于創建和銷售 NFT。該項服務專為希望出售 NFT 以獲得特殊訪問權限的消費品牌設計的，NFT 可用于參加活動，而無藝術或交易價值。（彭博社）[2022/6/9 4:11:41]

PREMINT和安全機構均提示用戶，使用該網站的用戶需要檢查自己的錢包授權設置，可使用以太坊瀏覽器或Revoke等專門工具取消錢包授權。

PREMINT提示用戶停止授權交易

鳴鳳堂國際青年影像節使用加密貨幣和NFT獎勵獲獎者:2月23日消息，據CISION報道，在2022年第四屆鳴鳳堂國際青年影像節上，德國電影制片人Andre Diwisch的短片《Refugee by Mistake（誤入歧途的難民）》獲得了該屆大獎，獲得了價值3萬美元的加密貨幣，以及由奧斯卡獎得主Michael Douglas及Juliette Binoche簽名的定制NFT獎杯。由此，鳴鳳堂國際青年影像節成為了首個以NFT和加密貨幣頒獎的全球電影節。據悉，鳴鳳堂國際青年影像節專為年輕和即將上映的電影制作人而設計，是世界上最大的短片電影節之一。[2022/2/23 10:10:09]

PREMINT可以預告各種NFT的發布，但無法預知黑客對它的入侵。7月17日，在有用戶報告NFT丟失后，PREMINT通過官方推特發出警報，「不要授權任何顯示為『setapprovalsforall』的交易！」

Hello Kitty將推出NFT以進軍元宇宙:1月31日消息，據三麗鷗首席執行官辻朋邦（Tomokuni Tsuji）透露，該公司旗下知名品牌Hello Kitty將進軍元宇宙及 NFT 領域。

辻朋邦稱，Hello Kitty 的形象已滲透線下和虛擬世界，目前正在尋求與亞馬遜、Netflix 和其他科技巨頭建立合作伙伴關系并推出 NFT。辻朋邦透露，三麗鷗公司目前正建立一個團隊，預計 4 月成立，目標是創建全球性角色并跨足元宇宙和 NFT，最終與迪士尼的米老鼠、艾莎公主等品牌相抗衡。[2022/1/31 9:24:03]

今年3月底上線的PREMINT是一個訪問NFT列表的工具，它收集了市場上NFT的預售及贈品的列表，創作者可以通過該工具構建訪問列表，NFT收藏家則可以通過它隨時了解即將Mint的NFT商品。

AI作曲家的知識產權將在NFT市場上出售:12月9日消息，Hancom With的一家子公司將于本月與一名人工智能作曲家簽署合同，并在NFT市場發行其知識產權。Hancom Artpia周四表示，它將與基于人工智能的內容制作公司Enterarts合作，在定于本月晚些時候推出的NFT市場出售人工智能作曲家Aimy Moon的NFT。該公司表示，由艾米·穆恩使用深度學習和人工神經網絡技術創作的數字單曲將發行到NFT中。

這位虛擬作曲家還計劃在元宇宙平臺上舉辦一場音樂會。Aimy Moon擁有超30000名粉絲，發行了16張韓流數字單曲專輯，目前作為音樂創作者活躍在元宇宙平臺上，這些平臺包括總部位于美國的Roblox和Zepeto。(yonhap)[2021/12/9 13:01:22]

PREMINT官網顯示，有超過12000個項目已使用它管理自己的訪問列表，有超過239萬個錢包鏈接了該工具。

7月17日，上百萬個鏈接錢包中還包括了黑客的惡意錢包。PREMINT表示，一個未知的第三方操縱了一個文件，導致用戶看到了一個惡意的錢包鏈接。

在在線的加密錢包上，點擊「setapprovalsforall」意味著用戶為所有人設置了「批準交易」，當這個授權被釣魚攻擊利用時，黑客將可以轉移你的加密資產。

OpenSea鏈接、用戶的推特名。

黑客從釣魚攻擊中獲利超37萬美元

PREMINT被攻擊后，安全機構慢霧發布了安全提醒，該機構披露，7月17日16時(UTC8)，premint.xyz遭遇黑客攻擊，黑客在該網站中通過植入惡意的JS文件來實施釣魚攻擊，欺騙戶簽名「SetApprovalForAll」的交易，從而盜取用戶的NFT等資產。

另一家安全機構Certik梳理了更詳細的PREMINT事件分析，該機構表示，一名黑客將惡意的JavaScript代碼上傳到premint.xyz，從而破壞了該網站。惡意代碼通過URL注入網站，然而，由于域名服務器不再存在，文件也就不再可用，「但這種鏈上攻擊的影響仍然可見。」

Certik披露，總共有6個地址與攻擊直接相關，攻擊是從UTC時間上午7時25分開始，因為有兩個惡意錢包地址在那時出現了轉移被盜NFT的動作，惡意代碼也很可能在那時被注入到PREMINT的官網網址中，這兩個錢包包含的NFT包括BoredApeYachtClub、Otherside、Oddities和Goblintown等，其余4個錢包參與了被盜NFT的轉移。

投資NFT和加密資產時會借助Web2網站的易用性，「但是，Web2基礎架構通常會通過集中化漏洞導致單點故障。」

Certik舉了一個例子——今年6月，在BAYC上發生過一起網絡釣魚攻擊，社區管理人BorisVagner的Discord賬戶遭到入侵，導致攻擊者在假BAYC網站的Discord頻道上發布了針對BAYC和Otherside持有者的虛假鏈接，這樣的釣魚方式讓攻擊者從被盜的NFT中獲利約31.9萬美元。

第二個例子是NFT藝術家Beeple的推特賬戶被盜事件，該事件導致他的推特粉絲損失了價值約43.8萬美元的NFT和加密資產。在第一次攻擊中，黑客向Beeple的推特關注者發布了一個協作鏈接，導致有用戶損失了大約7.3萬美元。隨后，第二次攻擊來襲，耗盡了關注者的加密資產和NFT錢包。

「這些攻擊表明，Web2存在中心化的脆弱性。」Certik認為，Web2的安全脆弱性出現時，會給NFT帶來「毀滅性的損失」。

Tags：NFTINTMINMINTKONGZ Vault (NFTX)PINTUniX GamingMint Club

火必交易所