揭祕NFT空投新騙局 警惕虛假Offer盜取你的資產

發表於 2022-06-02 09:48 作者： 區塊律動BlockBeats

「我的錢包突然獲得了一個未知 NFT 收藏品的空投，然後有人提供了 1 WETH 的報價。這是怎么回事？接受它安全嗎？」

長話短說，這些都是騙局，你無法通過交互獲利。現在，讓我們來了解一下這些騙局的原理！

OpenSea 的工作方式是通過「授權」來轉移你的 NFT 或 WETH，而「授權」是你直接在Token合約上調用的特殊智能合約功能。它說：

「 Token 合約，請允許這個市場合約使用的我的資金或 JPG。」

這是危險的！但僅限於一個方向。如果市場是惡意的，那它就可以竊取你的資金和 JPG。但是，如果資金/JPG 是惡意的，那他們「就無法」竊取你的市場。

設計不佳的市場可能會存在一個漏洞，允許一個已授權的集合竊取另一個已授權的集合。這就是爲什么我們要只使用健壯的、經過良好測試的網站。

下面是利用 opensea 使用的舊 Wyvern 合約進行攻擊的示例：

因此，你只能通過調用資金/JPG 合約來批准使用資金/JPG 的外部合約。

而不是通過調用一個外部合約。

這就是爲什么理論上與惡意合約交互是「安全的」，前提是你的交易直接進入惡意合約，並且你沒有將任何原始 ETH 發送到 payable 函數。

但請注意，不要自己嘗試這種危險操作。

當然，當人們認爲他們正在與外部合約交互，但實際上正在與他們的資金/JPG 合約交互時，就會發生危險。

會有一個網站跳出來跟你說：「點擊此處以激活你的猿猴」，但錢包交易說的實際是「SET APPROVAL FOR ALL」（將所有權限全部批准出去）。

在醉酒/興奮/昏昏欲睡/fomo 等情緒組合的影響下，人們就會籤名將他們的畢生積蓄拱手讓給他人。

那么，如果黑客無法控制你的錢包或資產，這些虛假的 NFT 報價遊戲的計劃是什么呢？

惡意行爲者使用了幾種攻擊計劃：

- 當你批准 opensea 市場合約以使用你的 NFT，然後嘗試接受該報價時，報價接受將會恢復。錯誤消息會包含一個 URL，如果你訪問該網站，它會試圖讓你籤署一筆惡意交易。

- NFT 是一種代理合約，它可以在之後替換爲不同的實現邏輯。

以下是一個從 260 個不同地址接收 dust 粉塵交易的地址，其中每個地址都創建了一個代理合約，以僞裝成一個唯一的集合。

這些不良行爲者的命中率很低，因此爲了 gas 優化，他們將使用具有重 NFT 代碼邏輯的單個實現合約，並部署許多看似獨立集合的輕量級代理。

這裏有更多關於代理模式的內容。

一些人認爲，最近的 NFT 代理部署者开發了祕密功能，如果你在代理上調用 approve，那他就可以竊取你的所有 NFT。

出於上述的原因，這似乎是完全錯誤的。

gas 優化是最可能的代理使用假設。

OpenSea 前端在它調用的集合功能方面相當封閉，因此大多數虛假的 WETH 報價，只是爲了引誘你去一個釣魚網站。

總結一下：

虛假 WETH 報價將允許你批准該 NFT 的銷售，但在你嘗試接受報價時，交易會恢復。這會導致你浪費了 gas 手續費，同時又在 Etherscan 上 revert 消息引誘你進入釣魚網站。

標題：揭祕NFT空投新騙局 警惕虛假Offer盜取你的資產

地址：https://www.coinsdeep.com/article/3329.html

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。