原文作者:茉莉
「不要授权任何显示为『setapprovalsforall』的交易!」北京时间7月17日下午,NFT访问列表工具PREMINT通过官方推特发布预警。因为有用户提醒,该工具的网站被黑客入侵,已经有NFT收藏家的藏品被盗。
随后,区块链安全机构慢雾确认,PREMINT网站遭黑客攻击,黑客在网站中通过植入恶意JS文件来实施钓鱼攻击,用户签名「setapprovalsforall」的交易,从而盗窃用户的NFT资产。
另一家安全机构Certik追踪到了6个与黑客攻击有关的主要地址,「大约价值275ETH的NFT被盗。」用户被盗的NFT涉及BoredApeYachtClub、Otherside、Moonbirds、Oddities和Goblintown等知名NFT。
Cool Cats与Hologram Labs达成合作为NFT持有者提供3D头像:2月4日消息,据Cool Cats在社交媒体披露,该NFT项目已与Hologram Labs达成合作,为所有Cool Cats和Cool Pets NFT持有者提供3D头像。Cool Cats表示,虽然平面2D图像也适用于个人资料图片,但在AR和元宇宙友好的虚拟世界中,用户需要可互操作的3D化身,与Hologram Labs的合作将使Cool Cats社区成员能在多个场景中展示他们的酷猫,该项目对50名社区成员开放了早期测试版访问权,目前可在官方Discord上进行申请。[2023/2/4 11:46:47]
PREMINT和安全机构均提示用户,使用该网站的用户需要检查自己的钱包授权设置,可使用以太坊浏览器或Revoke等专门工具取消钱包授权。
Multicoin Capital对NFT项目Loot的投资下跌95%:金色财经报道,据Multicoin Capital联合创始人凯尔·萨马尼(KyleSamani)称,Multicoin Capital对NFT项目Loot的8位数投资下跌了95%。他在承认价值下降后发推文说,“愿意在风险中损失100%的资本对我们的长期成功非常重要”。Vine创始人Dom Hoffmann于2021年8月推出了Loot。一经推出,Loot在NFT领域迅速获得人气,第一周销售额超过2.3亿美元。Multicoin Capital在2021年9月该系列的流行高峰期购买了8位数的Loot(至少1000万美元)。当时,Samani表示这是Multicoin的第一笔NFT购买。他说,Loot的投资论点很简单,这是“第一个可投资的加密原生游戏”。(theblockcrypto)[2022/5/6 2:55:03]
PREMINT提示用户停止授权交易
耐克起诉二手鞋网站StockX:销售未经授权的耐克NFT运动鞋:2月4日,耐克起诉二手鞋交易平台StockX,指控其销售未经授权的耐克NFT运动鞋。耐克表示,StockX上个月开始销售未经授权的耐克NFT运动鞋,并告诉买家,他们将能够在“不久的将来”兑换鞋的实物版本。据悉,StockX已售出超过500个耐克品牌的NFT。对此,耐克在诉讼中要求赔偿损失,并下令禁止销售这些产品。成为,耐克还表示,本月晚些时候将与去年12月收购的数字艺术工作室RTFKT一起发布“一系列虚拟产品”。
总部位于底特律的StockX是一个转售运动鞋、手袋和其他商品的平台,去年估值超过38亿美元。(路透社)[2022/2/4 9:31:03]
PREMINT可以预告各种NFT的发布,但无法预知黑客对它的入侵。7月17日,在有用户报告NFT丢失后,PREMINT通过官方推特发出警报,「不要授权任何显示为『setapprovalsforall』的交易!」
李启威::NFT最大的问题在于其数量无限:莱特币创始人李启威发推表示,NFT真正问题在于代币数量可以是无限的,而创建这些无限数量的代币成本为零,他表示现实世界中的艺术品并非“零成本”,艺术家创作作品需要花费时间和精力,这就像是工作量证明。诸如毕加索(Picasso)这样的知名艺术家一生只能创作数千件艺术品,此限制会导致稀缺性,从而有助于让这些作品保持较高的价值。由于创建NFT的成本几乎为零,假如艺术家为了获利而蜂拥进入这一领域,那么市场就会被这种狂热所淹没,供应将压倒需求,价格最终将崩溃。[2021/2/15 19:48:33]
今年3月底上线的PREMINT是一个访问NFT列表的工具,它收集了市场上NFT的预售及赠品的列表,创作者可以通过该工具构建访问列表,NFT收藏家则可以通过它随时了解即将Mint的NFT商品。
PREMINT官网显示,有超过12000个项目已使用它管理自己的访问列表,有超过239万个钱包链接了该工具。
7月17日,上百万个链接钱包中还包括了黑客的恶意钱包。PREMINT表示,一个未知的第三方操纵了一个文件,导致用户看到了一个恶意的钱包链接。
在在线的加密钱包上,点击「setapprovalsforall」意味着用户为所有人设置了「批准交易」,当这个授权被钓鱼攻击利用时,黑客将可以转移你的加密资产。
OpenSea链接、用户的推特名。
黑客从钓鱼攻击中获利超37万美元
PREMINT被攻击后,安全机构慢雾发布了安全提醒,该机构披露,7月17日16时(UTC8),premint.xyz遭遇黑客攻击,黑客在该网站中通过植入恶意的JS文件来实施钓鱼攻击,户签名「SetApprovalForAll」的交易,从而盗取用户的NFT等资产。
另一家安全机构Certik梳理了更详细的PREMINT事件分析,该机构表示,一名黑客将恶意的JavaScript代码上传到premint.xyz,从而破坏了该网站。恶意代码通过URL注入网站,然而,由于域名服务器不再存在,文件也就不再可用,「但这种链上攻击的影响仍然可见。」
Certik披露,总共有6个地址与攻击直接相关,攻击是从UTC时间上午7时25分开始,因为有两个恶意钱包地址在那时出现了转移被盗NFT的动作,恶意代码也很可能在那时被注入到PREMINT的官网网址中,这两个钱包包含的NFT包括BoredApeYachtClub、Otherside、Oddities和Goblintown等,其余4个钱包参与了被盗NFT的转移。
投资NFT和加密资产时会借助Web2网站的易用性,「但是,Web2基础架构通常会通过集中化漏洞导致单点故障。」
Certik举了一个例子——今年6月,在BAYC上发生过一起网络钓鱼攻击,社区管理人BorisVagner的Discord账户遭到入侵,导致攻击者在假BAYC网站的Discord频道上发布了针对BAYC和Otherside持有者的虚假链接,这样的钓鱼方式让攻击者从被盗的NFT中获利约31.9万美元。
第二个例子是NFT艺术家Beeple的推特账户被盗事件,该事件导致他的推特粉丝损失了价值约43.8万美元的NFT和加密资产。在第一次攻击中,黑客向Beeple的推特关注者发布了一个协作链接,导致有用户损失了大约7.3万美元。随后,第二次攻击来袭,耗尽了关注者的加密资产和NFT钱包。
「这些攻击表明,Web2存在中心化的脆弱性。」Certik认为,Web2的安全脆弱性出现时,会给NFT带来「毁灭性的损失」。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。