MIN:警惕Free Mint新騙局：參與Premint中獎后資產被盜_MINT

原文作者：MontanaWong

原文編譯：0x9F、czgsws，BlockBeats

本文梳理自Web3創作者工具應用?Sprise和Pally.gg聯合創始人?MontanaWong?在個人社交媒體平臺上的觀點，BlockBeats對其整理翻譯如下：

「degenmeta」是NFT領域的當前趨勢，團隊以FreeMint的形式啟動項目，很少或直接不提供項目路線圖，這種形式被諸如?goblintown?等項目成功帶火。這種形式在熊市中很好，因為FreeMint起碼不會虧本。

安全公司：警惕針對銀行APP和加密錢包的的新型安卓惡意軟件EventBot:總部位于美國的網絡安全公司Cybereason發現了一種針對銀行應用程序和加密貨幣錢包的新型安卓惡意軟件。據Techcrunch報道，這款名為EventBot的惡意軟件看似一個合法的安卓應用程序，但其實濫用了安卓內置的可訪問性功能，以獲取對設備操作系統的深度訪問權限。

一旦被不知情的用戶安裝，或被訪問受害者手機的惡意人士安裝，受感染的應用程序將會竊取200多個銀行和加密貨幣應用程序的密碼，包括貝寶（PayPal）、Coinbase、CapitalOne和匯豐（HSBC）等，并截獲雙因素身份驗證文本信息代碼。有了受害者的密碼和雙因素代碼，黑客可以侵入銀行賬戶、應用程序和錢包，竊取受害者的資金。（The Paypers）[2020/4/30]

騙子們利用這一點。他們現在不再創建虛假項目來騙取你的ETH，而是營造FOMO氣氛誘導你參加免費的「degen」Mint項目，騙你授予他們權限轉走你錢包里NFT。

動態 | 警惕“搬磚套利”虛假宣傳 昨日單一用戶被騙262個ETH:據數字資產安全追蹤平臺CoinHunter監測，北京時間2月22日21:19:49，Telegram\"搬磚套利\"騙局再度出現一名新的受害者，該用戶共被騙取262個ETH，價值約50萬人民幣。不法分子謊稱可按1:66的比例用ETH兌換HT，誘騙用戶將ETH轉入詐騙者賬戶0xa3FEE6437f…及0xdF7a0e8…中用以兌換虛假HT(虛假HT合約地址:0x7273bccfd73196e4454ac0010bd7e0075ac2e615；0x8e2b4569a4546612d1af77ced4e26d645e0ab90c)。CoinHunter在此提醒廣大用戶所有與火幣相關的活動信息均應以火幣官網公告為主，警惕“搬磚套利”虛假宣傳，以免資產遭遇損失。[2020/2/23]

通常他們首先使用Premint等合法服務，為他們的預售名單抽獎。Premint不會對使用他們服務的項目做任何審查，但很多人不知道這一點，還以為這些抽獎活動「有Premint背書」。

動態 | Scatter錢包存在可欺詐風險 用戶需警惕授權惡意交易:?近日，DVP漏洞平臺收到了一名白帽子提交Scatter錢包的漏洞。漏洞詳情顯示：DApp調起Scatter支付時，如果是多筆action放在一個transaction里，在默認的Human Readable顯示模式中Scatter只是把每一個action羅列出來，并且在JSON Format顯示模式中會把多筆相同的action只顯示一個，這可能造成混淆。對于新手用戶，很可能會誤以為這是錢包的顯示問題，從而失手確認導致直接資金損失。因為Scatter對此沒有專門提示，僅僅在左邊有一個“x actions in total”的提示，這個提示字體很小幾乎不會注意到。

?攻擊者可通過開發一個DApp，在某個地方僅收費0.0001EOS，但實際支付時發起多筆交易來轉移大量用戶資金（由于在要求用戶授權的時候Scatter錢包并不會顯示交易總金額，而只會顯示單筆交易金額，用戶很容易被誘導確認）。

?目前，DVP安全團隊已經聯系到Scatter官方并通報漏洞，對方稱會在下個版本更新UI設計，防止用戶授權此類惡意交易。[2019/3/25]

更糟糕的是，Premint允許抽獎創建者提出某些要求，例如「必須持有1枚MoonbirdsNFT」才能參加。這可以在不經過原項目方同意的情況下，搞出假裝得到官方認可的虛假抽獎活動。

「白名單預售」時你仍然會用持有高價值NFT的錢包參與鑄造，因為最初參與抽獎需要用到它們。這就是你的NFT會被盜的地方，讓我們看看這是如何進行的。

今天這一騙局出現了一個新版本「aLLtHiNgbEgiNs」，導致幾枚高價值的MoonbirdsNFT被盜。

如果你去他們的網站，它看起來就像一個典型的擺爛FreeMint項目，帶有連接錢包和Mint選項。不過一旦你深入了解，就會發現這個網站絕不是這么簡單。

可以注意到的第一件事，就是他們網站的大量代碼都復制自?goblintown?網站。

其次，如果你查看頁面上的JavaScript，有一個名為signupxx44777.js的文件，這就是漏洞所在。

連接錢包后，該代碼就會開始運作，字面上寫著「drainNFTs」。然而該代碼的真正目的是：

1.瀏覽你地址里的內容?

2.使用OpenSea的API來確定哪個是你最值錢的NFT?

3.識別出你最值錢的NFT并找到它的智能合約信息

4.一旦你點擊「mint」，它就會產生一筆交易與你最值錢的NFT的合約發生交互，這一setApprovalForAll交易會授予騙子轉走你NFT的權限

因此，盡管你認為你只是執行了一次典型的FreeMint交易，但實際上你已經允許騙子從你的錢包中轉走那些你最值錢的NFT，簡單粗暴。

總之，這一漏洞利用的工作原理如下：

1.圍繞免費的DegenMint項目進行炒作，使用Premint等合法工具誘使高價值錢包參與

2.創建一個帶有惡意JavaScript的網站，掃描你的錢包以獲得最高價值的NFT

3.虛假的Mint選項，實際不會產生一筆Mint交易，而會創建一筆授予騙子轉走你NFT?權限的惡意交易

4.用相同的代碼在不同的「項目」下重復步驟1-3

這些騙局中大部分可能都是一個人搞出來的，一定要注意安全。如果你認為自己受到了這些騙局之一的影響，你可以通過?revoke.cash?撤銷對所有值錢NFT的訪問權限，或盡快將它們轉移至硬件錢包。

原文鏈接

Tags：INTMINMINTNFTINTX價格MINIDOGEMINTIBGAN Vault (NFTX)

LTC