「不要授權任何顯示為『set approvals for all』的交易!」北京時間 7 月 17 日下午,NFT 訪問列表工具 PREMINT 通過官方推特發布預警。因為有用戶提醒,該工具的網站被黑客入侵,已經有 NFT 收藏家的藏品被盜。
隨後,區塊鏈安全機構慢霧確認,PREMINT 網站遭黑客攻擊,黑客在網站中通過植入惡意 JS(JavaScript)文件來實施釣魚攻擊,欺騙用戶簽名「set approvals for all」的交易,從而盜竊用戶的 NFT 資產。
另一家安全機構 Certik 追蹤到了 6 個與黑客攻擊有關的主要地址,「大約價值 275 ETH(約 37.5 萬美元)的 NFT 被盜。」用戶被盜的 NFT 涉及 Bored Ape Yacht Club、Otherside、Moonbirds、Oddities 和 Goblintown 等知名 NFT。
PREMINT 和安全機構均提示用戶,使用該網站的用戶需要檢查自己的錢包授權設置,可使用以太坊瀏覽器或 Revoke 等專門工具取消錢包授權。
PREMINT 提示用戶停止授權交易
PREMINT 可以預告各種 NFT 的發布,但無法預知黑客對它的入侵。7 月 17 日,在有用戶報告 NFT 丟失後,PREMINT 通過官方推特發出警報,「不要授權任何顯示為『set approvals for all』的交易!」
今年 3 月底上線的 PREMINT 是一個訪問 NFT 列表的工具,它收集了市場上 NFT 的預售及贈品的列表,創作者可以通過該工具構建訪問列表,NFT 收藏家則可以通過它隨時了解即將 Mint(發布或鑄造)的 NFT 商品。
PREMINT 官網顯示,有超過 12000 個項目已使用它管理自己的訪問列表,有超過 239 萬個錢包鏈接了該工具。
7 月 17 日,上百萬個鏈接錢包中還包括了黑客的惡意錢包。PREMINT 表示,一個未知的第三方操縱了一個文件,導致用戶看到了一個惡意的錢包鏈接。
在在線的加密錢包上,點擊「set approvals for all」意味著用戶為所有人設置了「批準交易」,當這個授權被釣魚攻擊利用時,黑客將可以轉移你的加密資產。
PREMINT 開始統計被盜用戶的信息
攻擊發生後,PREMINT 提醒用戶,利用可以取消授權的 Revoke 工具撤銷授權,並將全部貴重的 NFT 轉移到其他錢包中。另有 NFT 用戶提醒,也可用以太坊官方瀏覽器的「Token Approval」工具撤銷錢包授權。
截至目前,已經有 6 個以太坊地址被標記為與此次攻擊有關的「網絡釣魚黑客」地址。今日一早,PREMINT 在官方推特上發布了登記表鏈接,以收集和統計被盜用戶的信息,包括受影響的錢包地址、被盜 NFT 錢包的 OpenSea 鏈接、用戶的推特名。
黑客從釣魚攻擊中獲利超 37 萬美元
PREMINT 被攻擊後,安全機構慢霧發布了安全提醒,該機構披露,7 月 17 日 16 時 (UTC+8),premint.xyz 遭遇黑客攻擊,黑客在該網站中通過植入惡意的 JS(JavaScript)文件來實施釣魚攻擊,欺騙戶簽名 「Set Approval For All」的交易,從而盜取用戶的 NFT 等資產。
另一家安全機構 Certik 梳理了更詳細的 PREMINT 事件分析,該機構表示,一名黑客將惡意的 JavaScript 代碼上傳到 premint.xyz,從而破壞了該網站。惡意代碼通過 URL 註入網站,然而,由於域名服務器不再存在,文件也就不再可用,「但這種鏈上攻擊的影響仍然可見。」
Certik 披露,總共有 6 個地址與攻擊直接相關,攻擊是從 UTC 時間上午 7 時 25 分開始,因為有兩個惡意錢包地址(0x0C979…… 和 0x28733……)在那時出現了轉移被盜 NFT 的動作,惡意代碼也很可能在那時被註入到 PREMINT 的官網網址中,這兩個錢包包含的 NFT 包括 Bored Ape Yacht Club(BAYC)、Otherside、Oddities 和 Goblintown 等,其余 4 個錢包參與了被盜 NFT 的轉移。
黑客地址轉移了盜取的 Goblintown NFT
「這兩個錢包共偷走了 314 個 NFT,包括 BAYC、Otherside、Globlintownm 等,」Certik 統計,此次攻擊總共損失了約 275 ETH,金額為 374417.66 美元,使其成為今年最大的 NFT 黑客攻擊之一。
盡管 NFT 是 Web3 的產物,但 Certik 在事件分析中表示,Web2 一直是互聯網的主要狀態,用戶在投資 NFT 和加密資產時會借助 Web2 網站的易用性,「但是,Web2 基礎架構通常會通過集中化漏洞導致單點故障。」
Certik 舉了一個例子 —— 今年 6 月,在 BAYC 上發生過一起網絡釣魚攻擊,社區管理人 Boris Vagner 的 Discord 賬戶遭到入侵,導致攻擊者在假 BAYC 網站的 Discord 頻道上發布了針對 BAYC 和 Otherside 持有者的虛假鏈接,這樣的釣魚方式讓攻擊者從被盜的 NFT 中獲利約 31.9 萬美元。
第二個例子是 NFT 藝術家 Beeple 的推特賬戶被盜事件,該事件導致他的推特粉絲損失了價值約 43.8 萬美元的 NFT 和加密資產。在第一次攻擊中,黑客向 Beeple 的推特關註者發布了一個協作鏈接,導致有用戶損失了大約 7.3 萬美元。隨後,第二次攻擊來襲,耗盡了關註者的加密資產和 NFT 錢包。
「這些攻擊表明,Web2 存在中心化的脆弱性。」Certik 認為,Web2 的安全脆弱性出現時,會給 NFT 帶來「毀滅性的損失」。
