原文作者:茉莉
「不要授权任何显示为『set approvals for all』的交易!」北京时间 7 月 17 日下午,NFT 访问列表工具 PREMINT 通过官方推特发布预警。因为有用户提醒,该工具的网站被黑客入侵,已经有 NFT 收藏家的藏品被盗。
随后,区块链安全机构慢雾确认,PREMINT 网站遭黑客攻击,黑客在网站中通过植入恶意 JS(JavaScript)文件来实施钓鱼攻击,欺骗用户签名「set approvals for all」的交易,从而盗窃用户的 NFT 资产。
另一家安全机构 Certik 追踪到了 6 个与黑客攻击有关的主要地址,「大约价值 275 ETH(约 37.5 万美元)的 NFT 被盗。」用户被盗的 NFT 涉及 Bored Ape Yacht Club、Otherside、Moonbirds、Oddities 和 Goblintown 等知名 NFT。
PREMINT 和安全机构均提示用户,使用该网站的用户需要检查自己的钱包授权设置,可使用以太坊浏览器或 Revoke 等专门工具取消钱包授权。
PREMINT 提示用户停止授权交易
PREMINT 可以预告各种 NFT 的发布,但无法预知黑客对它的入侵。7 月 17 日,在有用户报告 NFT 丢失后,PREMINT 通过官方推特发出警报,「不要授权任何显示为『set approvals for all』的交易!」
今年 3 月底上线的 PREMINT 是一个访问 NFT 列表的工具,它收集了市场上 NFT 的预售及赠品的列表,创作者可以通过该工具构建访问列表,NFT 收藏家则可以通过它随时了解即将 Mint(发布或铸造)的 NFT 商品。
PREMINT 官网显示,有超过 12000 个项目已使用它管理自己的访问列表,有超过 239 万个钱包链接了该工具。
7 月 17 日,上百万个链接钱包中还包括了黑客的恶意钱包。PREMINT 表示,一个未知的第三方操纵了一个文件,导致用户看到了一个恶意的钱包链接。
在在线的加密钱包上,点击「set approvals for all」意味着用户为所有人设置了「批准交易」,当这个授权被钓鱼攻击利用时,黑客将可以转移你的加密资产。
PREMINT 开始统计被盗用户的信息
攻击发生后,PREMINT 提醒用户,利用可以取消授权的 Revoke 工具撤销授权,并将全部贵重的 NFT 转移到其他钱包中。另有 NFT 用户提醒,也可用以太坊官方浏览器的「Token Approval」工具撤销钱包授权。
截至目前,已经有 6 个以太坊地址被标记为与此次攻击有关的「网络钓鱼黑客」地址。今日一早,PREMINT 在官方推特上发布了登记表链接,以收集和统计被盗用户的信息,包括受影响的钱包地址、被盗 NFT 钱包的 OpenSea 链接、用户的推特名。
黑客从钓鱼攻击中获利超 37 万美元
PREMINT 被攻击后,安全机构慢雾发布了安全提醒,该机构披露,7 月 17 日 16 时 (UTC+8),premint.xyz 遭遇黑客攻击,黑客在该网站中通过植入恶意的 JS(JavaScript)文件来实施钓鱼攻击,欺骗户签名 「Set Approval For All」的交易,从而盗取用户的 NFT 等资产。
另一家安全机构 Certik 梳理了更详细的 PREMINT 事件分析,该机构表示,一名黑客将恶意的 JavaScript 代码上传到 premint.xyz,从而破坏了该网站。恶意代码通过 URL 注入网站,然而,由于域名服务器不再存在,文件也就不再可用,「但这种链上攻击的影响仍然可见。」
Certik 披露,总共有 6 个地址与攻击直接相关,攻击是从 UTC 时间上午 7 时 25 分开始,因为有两个恶意钱包地址(0x0C979…… 和 0x28733……)在那时出现了转移被盗 NFT 的动作,恶意代码也很可能在那时被注入到 PREMINT 的官网网址中,这两个钱包包含的 NFT 包括 Bored Ape Yacht Club(BAYC)、Otherside、Oddities 和 Goblintown 等,其余 4 个钱包参与了被盗 NFT 的转移。
黑客地址转移了盗取的 Goblintown NFT
「这两个钱包共偷走了 314 个 NFT,包括 BAYC、Otherside、Globlintownm 等,」Certik 统计,此次攻击总共损失了约 275 ETH,金额为 374417.66 美元,使其成为今年最大的 NFT 黑客攻击之一。
尽管 NFT 是 Web3 的产物,但 Certik 在事件分析中表示,Web2 一直是互联网的主要状态,用户在投资 NFT 和加密资产时会借助 Web2 网站的易用性,「但是,Web2 基础架构通常会通过集中化漏洞导致单点故障。」
Certik 举了一个例子 —— 今年 6 月,在 BAYC 上发生过一起网络钓鱼攻击,社区管理人 Boris Vagner 的 Discord 账户遭到入侵,导致攻击者在假 BAYC 网站的 Discord 频道上发布了针对 BAYC 和 Otherside 持有者的虚假链接,这样的钓鱼方式让攻击者从被盗的 NFT 中获利约 31.9 万美元。
第二个例子是 NFT 艺术家 Beeple 的推特账户被盗事件,该事件导致他的推特粉丝损失了价值约 43.8 万美元的 NFT 和加密资产。在第一次攻击中,黑客向 Beeple 的推特关注者发布了一个协作链接,导致有用户损失了大约 7.3 万美元。随后,第二次攻击来袭,耗尽了关注者的加密资产和 NFT 钱包。
「这些攻击表明,Web2 存在中心化的脆弱性。」Certik 认为,Web2 的安全脆弱性出现时,会给 NFT 带来「毁灭性的损失」。