揭祕NFT空投新騙局 警惕虛假Offer盜取你的資產

發表於 2022-06-02 09:48 作者: 區塊律動BlockBeats

「我的錢包突然獲得了一個未知 NFT 收藏品的空投,然後有人提供了 1 WETH 的報價。這是怎么回事?接受它安全嗎?」

長話短說,這些都是騙局,你無法通過交互獲利。現在,讓我們來了解一下這些騙局的原理

OpenSea 的工作方式是通過「授權」來轉移你的 NFT 或 WETH,而「授權」是你直接在Token合約上調用的特殊智能合約功能。它說:

「 Token 合約,請允許這個市場合約使用的我的資金或 JPG。」

這是危險的!但僅限於一個方向。如果市場是惡意的,那它就可以竊取你的資金和 JPG。但是,如果資金/JPG 是惡意的,那他們「就無法」竊取你的市場。

設計不佳的市場可能會存在一個漏洞,允許一個已授權的集合竊取另一個已授權的集合。這就是爲什么我們要只使用健壯的、經過良好測試的網站。

下面是利用 opensea 使用的舊 Wyvern 合約進行攻擊的示例:

因此,你只能通過調用資金/JPG 合約來批准使用資金/JPG 的外部合約。

而不是通過調用一個外部合約。

這就是爲什么理論上與惡意合約交互是「安全的」,前提是你的交易直接進入惡意合約,並且你沒有將任何原始 ETH 發送到 payable 函數。

但請注意,不要自己嘗試這種危險操作。

當然,當人們認爲他們正在與外部合約交互,但實際上正在與他們的資金/JPG 合約交互時,就會發生危險。

會有一個網站跳出來跟你說:「點擊此處以激活你的猿猴」,但錢包交易說的實際是「SET APPROVAL FOR ALL」(將所有權限全部批准出去)。

在醉酒/興奮/昏昏欲睡/fomo 等情緒組合的影響下,人們就會籤名將他們的畢生積蓄拱手讓給他人。

那么,如果黑客無法控制你的錢包或資產,這些虛假的 NFT 報價遊戲的計劃是什么呢?

惡意行爲者使用了幾種攻擊計劃:

- 當你批准 opensea 市場合約以使用你的 NFT,然後嘗試接受該報價時,報價接受將會恢復。錯誤消息會包含一個 URL,如果你訪問該網站,它會試圖讓你籤署一筆惡意交易。

- NFT 是一種代理合約,它可以在之後替換爲不同的實現邏輯。

以下是一個從 260 個不同地址接收 dust 粉塵交易的地址,其中每個地址都創建了一個代理合約,以僞裝成一個唯一的集合。

這些不良行爲者的命中率很低,因此爲了 gas 優化,他們將使用具有重 NFT 代碼邏輯的單個實現合約,並部署許多看似獨立集合的輕量級代理。

這裏有更多關於代理模式的內容。

一些人認爲,最近的 NFT 代理部署者开發了祕密功能,如果你在代理上調用 approve,那他就可以竊取你的所有 NFT。

出於上述的原因,這似乎是完全錯誤的。

gas 優化是最可能的代理使用假設。

OpenSea 前端在它調用的集合功能方面相當封閉,因此大多數虛假的 WETH 報價,只是爲了引誘你去一個釣魚網站。

總結一下:

虛假 WETH 報價將允許你批准該 NFT 的銷售,但在你嘗試接受報價時,交易會恢復。這會導致你浪費了 gas 手續費,同時又在 Etherscan 上 revert 消息引誘你進入釣魚網站。

標題:揭祕NFT空投新騙局 警惕虛假Offer盜取你的資產

地址:https://www.coinsdeep.com/article/3329.html

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

你可能還喜歡
熱門資訊