根据 CertiK 提供的安全信息,知名 NFT 白名单平台 Premint 网站周日遭到入侵。据信,这次袭击造成的损失约为 375,000 美元。
预发攻击
今年最大的不可替代代币泄露事件之一是 Premint NFT 平台客户盗窃了至少 314 个区块链条目,总计约 375,000 美元。
据加密安全公司称证书, 该问题始于注入恶意 JavaScript 并影响存储 NFT 的钱包,例如 Bored Ape Yacht Club 和 Oddities。 Premint 发推文说,受影响的用户收到了一个弹出窗口,要求他们确认他们对钱包的所有权。该网站的用户可以注册加入新 NFT 项目的潜在买家数据库。
该消息还说服用户在他们的钱包中启用“SetApprovalForAll”功能,允许黑客从他们的账户中窃取资金。 Premint 声称只有“相对较少的用户”被提示所愚弄,并且它提高了安全性。
SetApprovalForAll 旨在使去中心化金融平台的用户能够立即同意转移特定代币,这些代币已在以后由基础智能合约预先选择。威胁行为者利用该功能将属于其他用户的所有代币转移到他们自己的钱包中。
黑客已被有效关闭,PREMINT 已在撰写本文时更新了他们的网站。
根据 PREMINT 固定在网站上的更新,用户现在可以使用他们的 Twitter 或 Discord 帐户而不是钱包重新登录平台。这是安全且方便得多的方法,尤其是在移动设备上。
BTC/USD 升至 20,000 美元以上。来源:交易视图
相关阅读 |网络犯罪者通过服务器黑客从 Yuga Labs 窃取以太坊和 NFT
安全措施
该警告由 Permit 团队早些时候在 Twitter 上发布,告诉用户如果他们认为自己的钱包在黑客攻击中受到损害,就撤销对其钱包的访问权限,并且不要批准任何要求他们“为所有人设置批准”的交易。为了修复,该网站暂时下线。
该平台暂时关闭了其网站,并建议使用 Revoke Cash 或 Etherscan 禁用“为所有人设置批准”功能,并将所有资产转移到不同的钱包。通过使用事件报告表,企业可以收集被盗物品的清单并使用它来追踪它们的下落。
该网站在撰写本文时正在运行。由于 Premint 更新,用户不再需要使用钱包登录网站。用户现在可以使用他们的 Twitter 或 Discord 帐户而不是他们的钱包重新登录平台。它更安全,更实用。特别是在手机上。
此外,PREMINT 通知其社区,他们正试图恢复受影响用户的钱包和被盗资产。 “我们正在积极合作,以获得资产被盗的钱包的完整清单。”
自去年以来,NFT 黑客攻击的数量显着增加,而 PREMINT 是最近的受害者。周五早些时候,一名黑客针对NFT 艺术家 DeeKay 的 推特账号。据报道,此次攻击造成 NFT 损失 15 万美元。
由于 NFT 骗局的增加,现在在批准任何交易时格外谨慎比以往任何时候都更加重要。
相关阅读 |黑客的网络钓鱼攻击切断了价值 150 万美元的 Moonbirds NFT
特色图片来自 Getty Images,图表来自 TradingView.com