NFT工具安全吗？Premint被黑带给我们哪些启示

7月17日下午，成都链安链必应-区块链安全态势感知平台舆情监测显示，NFT服务提供商PREMINT项目遭受黑客攻击，黑客获利314个NFTs，价值37万美元。成都链安安全团队对此事件进行了分析。

首先要介绍本次被黑的对象PREMINT。

据悉，PREMINT 是目前很多项目方和个人使用最频繁的 NFT 服务之一，简单而言，我们可以将PREMINT理解为白名单抽奖工具。

对于用户而言，他可以通过PREMINT一次性完成关注项目方Twitter、进入官方Discord，填写地址等步骤来参与抽奖。

从NFT项目方的角度来说，项目方不需要独自开发抽奖系统，PREMINT可以帮助项目方收集地址、验资、开奖、引流等步骤，节约了时间和技术成本。

也因此，这次攻击导致很多人中招。攻击发生之后，项目方也在推特发文提醒用户不要签署任何设置批准所有的交易。

接下来，我们就来拆解本次攻击是如何发生的。

#事件相关信息

•攻击者相关地址

1. 0x28733543ec21DFD4Dac3FA2d7AD74d6c6d2Bb49d

2. 0x0C9797805a22E507Bf48F35C72A67f001b7418d0

3. 0x4eD07767e70199F2423dC67FDE6802C1E7D06cA1

4. 0x4499bac5B15321b6fcD6Faf781Be8ae96EAAFeEf

5. 0x99AeB028E43F102C5776F6B652952BE540826bf4

6. 0xAAb00F612D7dED169E51cf0142D48FF560f281f3

#攻击过程

1.攻击者通过在项目官网https://premint.xyz注入恶意js代码，该代码会加载攻击者服务器上的https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js文件。

2.由于目前黑客的服务器已经不能访问，因此无法直接获取到该js文件。但在web.archive.org仍然能够查到其备份，具体内容如下：

如上图所示，红框1处内容为调用方法，对应setApprovalForAll(address,bool)方法的function selector，如下图所示。而红框2处内容为钓鱼网站常规检测用户钱包是否存在余额等常规操作。

该方法是钓鱼网站常用方法之一，通过它钓鱼网站可以获取到用户钱包中所有NFT的所有权。

3.一旦用户访问该网站并连接钱包后，攻击者会诱使其批准setApprovalForAll交易，使得攻击者获取到用户钱包中所有NFT的所有权，并将其挂单在OpenSea交易所中卖出，如下图所示：

下图为被盗NFT在OpenSea上的交易记录，根据该记录可以定位攻击者地址为：0x0C9797805a22E507Bf48F35C72A67f001b7418d0。

接着根据该地址搜索相关交易，我们发现其余5个相关地址。

4.最后，攻击者已将所盗资产转移至Tornado.Cash。

#资金追踪

截止发文时，攻击者获利约314个NFTs，价值37万美元，成都链安链必追平台监测到攻击者目前已将被盗资金陆续转移到Tornado Cash，成都链安安全团队将持续对进入龙卷风的资金进行分析和追踪。

#总结

针对本次事件，成都链安安全团队建议：1.如果发现钱包被盗，用户应该及时去revoke.cash取消授权。2.用户需要避免过度授权保证财产安全。

作为一家致力于区块链安全生态建设的全球领先区块链安全公司，也是最早将形式化验证技术应用到区块链安全的公司，成都链安目前已与国内外头部区块链企业建立了深度合作；为全球2000多份智能合约、100多个区块链平台和落地应用系统提供了安全审计与防御部署服务。自主研发的“链必安”一站式区块链安全服务平台可为执法监管机构、金融机构、区块链企业等提供安全审计、安全防护、安全监管、安全预警、安全咨询等全生命周期安全保障解决方案。欢迎点击公众号留言框，与我们联系。