月亮链 月亮链
Ctrl+D收藏月亮链
首页 > Coinw > 正文

INT:警惕Free Mint新局:参与Premint中奖后资产被盗_GLINT币

作者:

时间:1900/1/1 0:00:00

原文作者:MontanaWong

原文编译:0x9F、czgsws,BlockBeats

本文梳理自Web3创作者工具应用?Sprise和Pally.gg联合创始人?MontanaWong?在个人社交媒体平台上的观点,BlockBeats对其整理翻译如下:

「degenmeta」是NFT领域的当前趋势,团队以FreeMint的形式启动项目,很少或直接不提供项目路线图,这种形式被诸如?goblintown?等项目成功带火。这种形式在熊市中很好,因为FreeMint起码不会亏本。

Synthetix:警惕声称可提供OTC交易服务的冒牌核心贡献者:合成资产平台Synthetix发推称:“最近有一些子冒充Synthetix的核心贡献者,假装可提供场外(OTC)交易服务——这些都不是真的,Synthetix的贡献者永远不会为你提供交易。电报群上也不会有Synthetix空投活动。”[2020/7/18]

子们利用这一点。他们现在不再创建虚假项目来取你的ETH,而是营造FOMO气氛诱导你参加免费的「degen」Mint项目,你授予他们权限转走你钱包里NFT。

通常他们首先使用Premint等合法服务,为他们的预售名单抽奖。Premint不会对使用他们服务的项目做任何审查,但很多人不知道这一点,还以为这些抽奖活动「有Premint背书」。

英国德比郡提醒公众警惕加密货币投资欺诈:英国德比郡发文提醒,公众应提高对加密货币投资欺诈的认识。加密货币投资欺诈是一种犯罪行为,投资者被诱使用伪造的加密货币交易平台,不幸的是这种现象正在增加。受害者会被社交媒体上承诺带来丰厚收益的广告所吸引,并被说服向交易平台运营商提供大量资金。在受害者不知情的情况下,他们的投资基金正直接让欺诈者受益,欺诈者利用交易网站作为幌子,使他们相信是自己通过糟糕的交易损失了所有的钱。

据悉,欺诈者经常在虚假新闻文章中使用名人“代言”,以说服人们投资合法。受害者会被各种技术术语轰炸,欺诈者利用他们对加密货币等缺乏了解的机会,说服人们让交易平台为其“管理”账户。交易平台有多种方式试图联系潜在受害者:包括电话、短信、电子邮件、WhatsApp等;欺诈者自称是交易平台的代表,会在一段时间内与受害者建立关系,以建立信任;社交媒体上的虚假新闻文章或网络钓鱼邮件。

提醒,不要向伪造的交易平台提供身份证件等个人信息,禁止任何人远程访问自己的计算机,注意辨别虚假信息。[2020/5/23]

更糟糕的是,Premint允许抽奖创建者提出某些要求,例如「必须持有1枚MoonbirdsNFT」才能参加。这可以在不经过原项目方同意的情况下,搞出假装得到官方认可的虚假抽奖活动。

声音 | 慢雾联合创始人余弦:警惕钱包助记词截图、私钥剪切板被作恶App盗取:慢雾联合创始人余弦今日发布微博称,安卓的App权限控制确实很坑,一个不小心你的钱包助记词截图、私钥剪切板就可能被作恶App盗取,不需要root,攻击场景很广、很容易。iPhone做得相对好,但也要小心剪贴板窃取。剪切板用完就应该释放,自动释放机制没有,就养成个手动替换的习惯。[2019/2/16]

「白名单预售」时你仍然会用持有高价值NFT的钱包参与铸造,因为最初参与抽奖需要用到它们。这就是你的NFT会被盗的地方,让我们看看这是如何进行的。

今天这一局出现了一个新版本「aLLtHiNgbEgiNs」,导致几枚高价值的MoonbirdsNFT被盗。

如果你去他们的网站,它看起来就像一个典型的摆烂FreeMint项目,带有连接钱包和Mint选项。不过一旦你深入了解,就会发现这个网站绝不是这么简单。

可以注意到的第一件事,就是他们网站的大量代码都复制自?goblintown?网站。

其次,如果你查看页面上的JavaScript,有一个名为signupxx44777.js的文件,这就是漏洞所在。

连接钱包后,该代码就会开始运作,字面上写着「drainNFTs」。然而该代码的真正目的是:

1.浏览你地址里的内容?

2.使用OpenSea的API来确定哪个是你最值钱的NFT?

3.识别出你最值钱的NFT并找到它的智能合约信息

4.一旦你点击「mint」,它就会产生一笔交易与你最值钱的NFT的合约发生交互,这一setApprovalForAll交易会授予子转走你NFT的权限

因此,尽管你认为你只是执行了一次典型的FreeMint交易,但实际上你已经允许子从你的钱包中转走那些你最值钱的NFT,简单粗暴。

总之,这一漏洞利用的工作原理如下:

1.围绕免费的DegenMint项目进行炒作,使用Premint等合法工具诱使高价值钱包参与

2.创建一个带有恶意JavaScript的网站,扫描你的钱包以获得最高价值的NFT

3.虚假的Mint选项,实际不会产生一笔Mint交易,而会创建一笔授予子转走你NFT?权限的恶意交易

4.用相同的代码在不同的「项目」下重复步骤1-3

这些局中大部分可能都是一个人搞出来的,一定要注意安全。如果你认为自己受到了这些局之一的影响,你可以通过?revoke.cash?撤销对所有值钱NFT的访问权限,或尽快将它们转移至硬件钱包。

原文链接

标签:INTNFTMINTMINGLINT币LIVENFTMINTME币GAMINGDOGE

Coinw热门资讯
COIN:CoinBene上线 Saber (SBR) 的公告_Zayedcoin

尊敬的用户:CoinBene将上线SBR/USDT币币交易,邀您体验。SBR充值时间:2021年9月13日17:30SBR交易时间:2021年9月13日18:00SBR提币时间:2021年9月1.

1900/1/1 0:00:00
DEX:CDE即将关闭兑换的公告_LOUD

尊敬的CloudExchange用户:CloudExchange平台代币CDE计划如下2022-01-03日关闭CDE兑换2022-01-04日开放币币交易2022-01-05日开放全网充提20.

1900/1/1 0:00:00
比特币:ZB.com关于在交易市场购买ZB的公告_nhbtc币发行总量

尊敬的ZB用户:????基于对ZB.com价值的高度认可和未来发展的信心,为维护ZB投资者的利益,ZB.com将使用平台交易手续费在交易市场上购买ZB.

1900/1/1 0:00:00
COM:XT.COM關於MANA, ICP, UNI永續合約品種上線的公告_HTT

尊敬的XT.COM用戶:XT.COM將於2022年7月7日08:00上線MANA/USDT,ICP/USDT和UNI/USDTU本位永續合約以及MANA/USD幣本位永續合約.

1900/1/1 0:00:00
MEX:MEXC關於ETF產品ANC3S進行份額合並的公告_Safe Exchange Coin

尊敬的用戶:由於杠桿ETF產品ANC3S的單價低於0.1USDT,觸發了MEXC杠桿ETF產品份額合並機製.

1900/1/1 0:00:00
CARD:关于PandaFe熊猫APP版本更新的公告_dafi币发行量和发行价

尊敬的用户:为了更好地提升我们的服务质量,优化用户体验,PandaFe熊猫积极迭代优化产品,细致处理好每一个细节,一切以用户的体验为导向.

1900/1/1 0:00:00