作者〡相信光

来源〡Web3践行者

如今加密大环境冷静期，大多数项目自身也陷入启动资金少，宣发困难，新员增量和社区联动无法达到启动规模，圈内名人和打卡社团的高价广告费让小项目方成为第一波韭菜，项目的白名单公售信息无法传递于圈子，于是一个喜闻乐见的好工具Premint及时出现并帮助大量的NFT项目方解决了任务抽奖白名单宣发困难，成为很多NFT发现者的前哨基地。

Premint 平台

这是一个专门用于NFT项目推广的平台，它的赋能和实用性相比其他PFP等NFT项目来得更强。目前，越来越多的项目方一直在使用Premint 服务为其 NFT铸造活动创建许可名单 ，深受整个 web3 社区的喜爱。

并且Premint抽奖的方式对散户较为友好，即便你没有太多资金，没有太多账户，也是可以参加的，并且有概率中奖。如果遇到大蓝筹，想有更多的账户中奖，就需要去创建尽可能多的账户。

假如中奖了，但其NFT的价格并不理想，也选择不去mint。这样的话，可以把风险尽可能放小，而收益放大。

Premint 潜在风险

Premint平台开放预售名单抽奖但是不会对使用他们服务的项目做任何审查，但很多人不知道这一点，还以为这些抽奖活动有 Premint 背书，而且Premint 允许抽奖创建者提出某些要求，例如「必须持有 1 枚 Moonbirds NFT」才能参加。这可以在不经过原项目方同意的情况下，搞出假装得到官方认可的虚假抽奖活动。

Premint被攻击

2022年7月17日PREMINT网站遭黑客攻击，黑客在网站中通过植入恶意JS（JavaScript）文件来实施钓鱼攻击，欺骗用户签名「set approvals for all」的交易，从而盗窃用户的NFT资产。

另一家安全机构 Certik 追踪到了6个与黑客攻击有关的主要地址，大约价值275 ETH（约37.5万美元）的NFT被盗。用户被盗的NFT涉及Bored Ape Yacht Club、Otherside、Moonbirds、Oddities 和 Goblintown 等知名NFT。

攻击原理

黑客预先制作好一个含有骗取用户授权的交互script 脚本，然后利用区块链开源的便利直接复制别人的项目源文件重新制作一个新项目，在Premint上发布抽白任务连接钓鱼官网，当你在链接钱包时进行签名授权后，病毒脚本就被触发，这个脚本先浏览你钱包的资产，再使用OpenSea 的 API 来确定哪个是你最值钱的 NFT 并找到它的智能合约信息，当你点击Mint时它就会产生一笔交易与你最值钱的 NFT 的合约发生交互，这一 setApprovalForAll 交易会授予骗子转走你 NFT 的权限

Premint漏洞

黑客的钓鱼脚本为什么可以堂而皇之的在Premint平台上连接运行，这是因为Premint平台的S3配置出现了错误，导致Bucket 未授权访问，使得黑客可以随意列出、读取或者写入 S3 bucket，从而对 js 资源文件进行篡改。

如何预防？

很多区块链用户都有个非常不好的习惯，只要操作进入到钱包中，除了调 gas 的过程，其他步骤都是下意识操作。实际上签名前的确认信息包含着大量关键内容，建议大家进行任何签名操作前都必须仔细确认。

当用户对 Premint 进行签名验证时，由于只是进行信息验证，没有任何上链的必要，所以发起的 Signature Request 应只包含 Origin 信息（请求方），用户的地址，Nounce 信息，可能有一些附加返回信息。

实际上，合约各类调用、转 ETH（或其他原生币）、转 Token 等，在钱包中签名信息都是不同的，所有投资者都应该了解其中的差异，以免遭到此类攻击时产生损失。

『声明：本内容仅供广大NFT爱好者科普学习和交流，不构成投资意见或建议，请理性看待，树立正确的理念，提高风险意识』