DeFi、NFT、MEV开发者foobar今日在推特上警告,NFT市场上出现新型态钓鱼骗局,有许多用户莫名接收到不知名NFT空投,并在OpenSea上已有不错报价,即使用户接受报价,最终交易也将报错无法成交,并在交易错误资讯处尝试引导用户前往钓鱼网站授权,以盗取用户NFT等资产。
针对恶意攻击者要如何进行诈骗,foobar首先解释了OpenSea的运作原理:OpenSea的工作方式是通过“批准”来转移你的NFT或WETH,批准指的是你直接在代币合约上调用特殊智能合约功能,这代表的意思是“代币合约,请允许这个市场的合约使用我的资金或jpegs”。这是危险的!但仅限于一个方向,如果市场方是恶意的,它可以窃取你的资金,但是,如果资金/jpeg是恶意的,他们无法窃取您的市场。
有鉴于此,foobar指出,用户只能通过调用资金/jpegs合约、而非通过调用外部合约,来授权外部合约使用用户本身的资金/jpegs,因此,他进一步解释,当人们认为他们正在与外部合约互动、但实际上是在与他们的货币/jpegs合约互动时,就会发生危险。foobar举例表示,一个网站可能会显示“点击这里,为你的猿制作动画 ”但事实上,钱包交易上实际可能会是将所有权限全部批准出去,这就会让用户的毕生积蓄陷入危险之中。
小心新型态钓鱼
foobar指出,当前恶意攻击者的手法是:
1)当您批准OpenSea市场合约,以使用您的NFT并尝试接受报价时,报价接受将撤回。报价错误消息会包含一个网址,如果您访问该网站,它会试图让您签署恶意交易。
2)NFT是一个代理合约,可以通过不同的实施逻辑来交易。
这是一个从260个不同地址接收粉尘交易(dust)的地址,其中每个地址都创建了一个代理合约,以伪装成一个独特的收藏品系列。
foobar最后总结道,虚假WETH的报价将诱惑用户批准NFT的销售,但在用户尝试接受报价时,交易又会撤回,这会导致用户浪费了Gas手续费,同时又在Etherscan被交易错误资讯处引诱进钓鱼网站,提醒用户应该注意安全。
与此同时,NFT项目KaijusReborn创办人Hydraze也发推提醒,恶意攻击者会空投不明NFT给用户,然后提供1-2个ETH的高报价,但用户应小心OpenSea上的WETH报价,一旦用户接受报价,钱包内的资金可能会被盗取。
原创文章,作者:币圈吴彦祖,如若转载,请注明出处:https://www.kaixuan.pro/news/321131/