Free Mint新骗局：参与Premint中奖后资产被盗

本文梳理自 Web3 创作者工具应用 Sprise 和 Pally.gg 联合创始人 Montana Wong 在个人社交媒体平台上的观点，BlockBeats 对其整理翻译如下：

「degen meta」是 NFT 领域的当前趋势，团队以 Free Mint 的形式启动项目，很少或直接不提供项目路线图，这种形式被诸如 goblintown 等项目成功带火。这种形式在熊市中很好，因为 Free Mint 起码不会亏本。

骗子们利用这一点。他们现在不再创建虚假项目来骗取你的 ETH ，而是营造 FOMO 气氛诱导你参加免费的「degen」Mint 项目，骗你授予他们权限转走你钱包里 NFT。

通常他们首先使用 Premint 等合法服务，为他们的预售名单抽奖。Premint 不会对使用他们服务的项目做任何审查，但很多人不知道这一点，还以为这些抽奖活动「有 Premint 背书」。

更糟糕的是，Premint 允许抽奖创建者提出某些要求，例如「必须持有 1 枚 Moonbirds NFT」才能参加。这可以在不经过原项目方同意的情况下，搞出假装得到官方认可的虚假抽奖活动。

「白名单预售」时你仍然会用持有高价值 NFT 的钱包参与铸造，因为最初参与抽奖需要用到它们。这就是你的 NFT 会被盗的地方，让我们看看这是如何进行的。

今天这一骗局出现了一个新版本「 aLL tHiNg bEgiNs 」，导致几枚高价值的 Moonbirds NFT 被盗。

如果你去他们的网站，它看起来就像一个典型的摆烂 Free Mint 项目，带有连接钱包和 Mint 选项。不过一旦你深入了解，就会发现这个网站绝不是这么简单。

可以注意到的第一件事，就是他们网站的大量代码都复制自 goblintown 网站。

其次，如果你查看页面上的 JavaScript，有一个名为 signupxx44777.js 的文件，这就是漏洞所在。

连接钱包后，该代码就会开始运作，字面上写着「drain NFTs」。然而该代码的真正目的是：

1. 浏览你地址里的内容

2. 使用 OpenSea 的 API 来确定哪个是你最值钱的 NFT

3. 识别出你最值钱的 NFT 并找到它的智能合约信息

4. 一旦你点击「mint」，它就会产生一笔交易与你最值钱的 NFT 的合约发生交互，这一 setApprovalForAll 交易会授予骗子转走你 NFT 的权限

因此，尽管你认为你只是执行了一次典型的 Free Mint 交易，但实际上你已允许被骗子从你的钱包中转出你那些最值钱的 NFT，简单粗暴。

总之，这一漏洞利用的工作原理如下：

1. 围绕免费的 Degen Mint 项目进行炒作，使用 Premint 等合法工具诱使高价值钱包参与

2. 创建一个带有恶意 JavaScript 的网站，扫描你的钱包以获得最高价值的 NFT

3. 虚假的 Mint 按钮，并不会实际产生一笔 Mint 交易，而是会创建一笔恶意交易，授予骗子权限转走你的 NFT 4. 用相同的代码在不同的「项目」下重复步骤 1-3

这些骗局中大部分可能都是一个人搞出来的，一定要注意安全。如果你认为自己受到了这些骗局之一的影响，你可以通过 revoke.cash 撤销对所有值钱 NFT 的访问权限，或尽快将它们转移至硬件钱包。