MINT:警惕Free Mint新騙局：參與Premint中獎后資產被盜_MIN

原文作者：MontanaWong

原文編譯：0x9F、czgsws，BlockBeats

本文梳理自Web3創作者工具應用?Sprise和Pally.gg聯合創始人?MontanaWong?在個人社交媒體平臺上的觀點，BlockBeats對其整理翻譯如下：

「degenmeta」是NFT領域的當前趨勢，團隊以FreeMint的形式啟動項目，很少或直接不提供項目路線圖，這種形式被諸如?goblintown?等項目成功帶火。這種形式在熊市中很好，因為FreeMint起碼不會虧本。

聲音 | 光明日報：警惕以虛擬幣為噱頭的新式詐騙:12月20日，光明日報刊文“警惕以虛擬幣為噱頭的新式詐騙”。文章表示，最近幾年來，類似的“傳銷幣”詐騙層出不窮。一些詐騙案例中，甚至根本沒有實體產品，完全靠虛擬幣哄騙用戶通過發展下線的方式來擴大整個虛擬幣市場，刺激購買需求，炒作升值預期，最后收割用戶。這種打著區塊鏈新技術旗號的騙局，蘊含的金融風險不容小覷。面對這類新型傳銷詐騙方式，消費者要提高警惕，不可貪圖不切實際的暴利。此外，監管部門也要順應形勢的變化，及時調整對傳銷和虛擬幣非法交易的界定范圍，提高打擊的力度。尤其是對那些宣稱有各種神奇功效的產品，一定得撥開其虛假宣傳的障眼法，看看是否涉及傳銷幣騙局，真正實現對傳銷犯罪行為露頭就打。[2019/12/20]

騙子們利用這一點。他們現在不再創建虛假項目來騙取你的ETH，而是營造FOMO氣氛誘導你參加免費的「degen」Mint項目，騙你授予他們權限轉走你錢包里NFT。

動態 | G20大阪領導人宣言：正密切關注加密資產發展 并對現有和新興的風險保持警惕:G20大阪領導人宣言中，第十七條為，技術創新可以為金融體系和更廣泛的經濟帶來重大利益。雖然加密資產目前不會對全球金融穩定構成威脅，但我們正密切關注事態發展，并對現有和新興的風險保持警惕。我們歡迎金融穩定委員會(FSB)和其他標準制定機構繼續開展工作，并請他們根據需要就其他多邊對策提出建議。我們重申致力于將最近修訂的《金融行動特別工作組準則》應用于虛擬資產和相關的反洗錢和反恐怖主義融資提供者。我們歡迎通過金融行動特別工作組（FATF）的解釋性說明和指導意見。我們也歡迎金融穩定委員會就分布式金融技術可能產生的影響以及監管機構如何與其他利益相關者接洽開展的工作。我們還將繼續加大力度，增強網絡韌性。[2019/6/29]

通常他們首先使用Premint等合法服務，為他們的預售名單抽獎。Premint不會對使用他們服務的項目做任何審查，但很多人不知道這一點，還以為這些抽獎活動「有Premint背書」。

政策 | 福建省處非辦：警惕打著“區塊鏈”“虛擬貨幣”等旗號的非法集資活動:根據福建日報，9月12日，福建省打擊和處置非法集資工作領導小組辦公室發布了關于防范利用金融平臺公司名義開展非法集資活動的風險提示。近期，一些不法分子利用各類金融平臺，打著“一帶一路”“支持三農”“金融創新”“區塊鏈”等旗號，通過編造“高收益、低風險”項目，發行“虛擬貨幣”“虛擬資產”“數字資產”等方式非法吸收公眾資金，侵害公眾合法權益。省處非辦提醒廣大社會公眾遠離非法金融平臺，謹防非法集資陷阱。[2018/9/14]

更糟糕的是，Premint允許抽獎創建者提出某些要求，例如「必須持有1枚MoonbirdsNFT」才能參加。這可以在不經過原項目方同意的情況下，搞出假裝得到官方認可的虛假抽獎活動。

「白名單預售」時你仍然會用持有高價值NFT的錢包參與鑄造，因為最初參與抽獎需要用到它們。這就是你的NFT會被盜的地方，讓我們看看這是如何進行的。

今天這一騙局出現了一個新版本「aLLtHiNgbEgiNs」，導致幾枚高價值的MoonbirdsNFT被盜。

如果你去他們的網站，它看起來就像一個典型的擺爛FreeMint項目，帶有連接錢包和Mint選項。不過一旦你深入了解，就會發現這個網站絕不是這么簡單。

可以注意到的第一件事，就是他們網站的大量代碼都復制自?goblintown?網站。

其次，如果你查看頁面上的JavaScript，有一個名為signupxx44777.js的文件，這就是漏洞所在。

連接錢包后，該代碼就會開始運作，字面上寫著「drainNFTs」。然而該代碼的真正目的是：

1.瀏覽你地址里的內容?

2.使用OpenSea的API來確定哪個是你最值錢的NFT?

3.識別出你最值錢的NFT并找到它的智能合約信息

4.一旦你點擊「mint」，它就會產生一筆交易與你最值錢的NFT的合約發生交互，這一setApprovalForAll交易會授予騙子轉走你NFT的權限

因此，盡管你認為你只是執行了一次典型的FreeMint交易，但實際上你已經允許騙子從你的錢包中轉走那些你最值錢的NFT，簡單粗暴。

總之，這一漏洞利用的工作原理如下：

1.圍繞免費的DegenMint項目進行炒作，使用Premint等合法工具誘使高價值錢包參與

2.創建一個帶有惡意JavaScript的網站，掃描你的錢包以獲得最高價值的NFT

3.虛假的Mint選項，實際不會產生一筆Mint交易，而會創建一筆授予騙子轉走你NFT?權限的惡意交易

4.用相同的代碼在不同的「項目」下重復步驟1-3

這些騙局中大部分可能都是一個人搞出來的，一定要注意安全。如果你認為自己受到了這些騙局之一的影響，你可以通過?revoke.cash?撤銷對所有值錢NFT的訪問權限，或盡快將它們轉移至硬件錢包。

原文鏈接

Tags：INTMINTNFTMINPRINTS幣MINT幣INFTgemini為什么叫葛大爺

火幣APP下載