原文作者:NFT&MEV开发者0xfoobar
原文编译:DeFi之道
“我的钱包突然获得了一个未知NFT收藏品的空投,然后有人提供了1WETH的报价。这是怎么回事?接受它安全吗?”
长话短说,这些都是局,你无法通过交互获利。现在,让我们来了解一下这些局的原理!
OpenSea的工作方式是通过“授权”来转移你的NFT或WETH,而“授权”是你直接在代币合约上调用的特殊智能合约功能。它说:
“代币合约,请允许这个市场合约使用的我的资金或JPG。”
报告:前1000个加密项目中超三分之一未在今年更新动态:4月5日消息,根据区块链营销机构Guerilla Buzz5月1日的一份研究报告。包括Coingecko和加密货币交易所AAX等在内的今年排名前1000的加密项目中??有35.8%未能用任何新的书面内容更新网站和动态。此外,在这1000个项目中,不到一半(49.7%)在2023年发布了超过2篇新文章。
研究发现,在前10大加密项目中??,币安的BNBChain更新动态最勤,今年发布了59篇新文章。排在第二位的是Polygon,共有36篇新文章,其次是Cardano。此外,加密项目最受欢迎的博客网站是免费博客托管网站Medium。(Cointelegraph)[2023/5/4 14:41:59]
这是危险的!但仅限于一个方向。如果市场是恶意的,那它就可以窃取你的资金和JPG。但是,如果资金/JPG是恶意的,那他们“就无法”窃取你的市场。
调查:近三分之一英国投资者认为已错过比特币投资良机:Parliament Street智库发布一项针对英国投资者的最新调查显示,近三分之一的英国投资者表示,他们不会投资比特币或其他加密货币,他们认为现在投资加密货币太晚了,觉得已错过了比特币的投资良机。(Decrypt)[2021/3/11 18:34:29]
设计不佳的市场可能会存在一个漏洞,允许一个已授权的集合窃取另一个已授权的集合。这就是为什么我们要只使用健壮的、经过良好测试的网站。
下面是利用opensea使用的旧Wyvern合约进行攻击的示例:
声音 | 肖磊:全球三分之一人口将拥有统一数字货币:6月9日,财经作家肖磊发文指出,拥有全球三分之一人口使用规模的美国社交巨头Facebook将在明年推出数字货币Libra。Libra将与“一篮子”货币挂钩,Facebook将通过基金会来运作Libra,这就类似于目前国际货币基金组织的结构,但其渗透能力远远要高于国际货币基金组织。全球货币市场,有太多的痛点需要解决,但自上而下的方案是行不通的,因为在这个领域,没有一个大国会主动放弃自己的铸币权。当前的问题在于,主权货币在适应全球性交易和结算领域,无法摆脱依赖于结算机构的问题,以及迅速满足消费场景变化的问题。在这种背景下,就算没有机构推出新的全球性支付模式,一些交易者也会采取现有的数字货币,比如比特币、以太坊等作为转账工具。当然,Libra不是用来颠覆美元的,更多的是解决用户的消费和转账问题。按照计划,2020年第一季度之前,Libra将在全球十几个国家中建立数字支付系统。而且也在筹备部署线下ATM(自动取款机)。[2019/6/10]
因此,你只能通过调用资金/JPG合约来批准使用资金/JPG的外部合约。
而不是通过调用一个外部合约。
这就是为什么理论上与恶意合约交互是“安全的”,前提是你的交易直接进入恶意合约,并且你没有将任何原始ETH发送到payable函数。
但请注意,不要自己尝试这种危险操作。
当然,当人们认为他们正在与外部合约交互,但实际上正在与他们的资金/JPG合约交互时,就会发生危险。
会有一个网站跳出来跟你说:“点击此处以激活你的猿猴”,但钱包交易说的实际是“SETAPPROVALFORALL”。
在醉酒/兴奋/昏昏欲睡/fomo等情绪组合的影响下,人们就会签名将他们的毕生积蓄拱手让给他人。
那么,如果黑客无法控制你的钱包或资产,这些虚假的NFT报价游戏的计划是什么呢?
恶意行为者使用了几种攻击计划:
当你批准opensea市场合约以使用你的NFT,然后尝试接受该报价时,报价接受将会恢复。错误消息会包含一个URL,如果你访问该网站,它会试图让你签署一笔恶意交易。
NFT是一种代理合约,它可以在之后替换为不同的实现逻辑。
以下是一个从260个不同地址接收dust粉尘交易的地址,其中每个地址都创建了一个代理合约,以伪装成一个唯一的集合。
这些不良行为者的命中率很低,因此为了gas优化,他们将使用具有重NFT代码逻辑的单个实现合约,并部署许多看似独立集合的轻量级代理。
这里有更多关于代理模式的内容。
一些人认为,最近的NFT代理部署者开发了秘密功能,如果你在代理上调用approve,那他就可以窃取你的所有NFT。
出于上述的原因,这似乎是完全错误的。
gas优化是最可能的代理使用假设。
OpenSea前端在它调用的集合功能方面相当封闭,因此大多数虚假的WETH报价,只是为了引诱你去一个钓鱼网站。
总结一下:
虚假WETH报价将允许你批准该NFT的销售,但在你尝试接受报价时,交易会恢复。这会导致你浪费了gas手续费,同时又在Etherscan上revert消息引诱你进入钓鱼网站。
请保护好自己的钱包安全!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。