原文の編集: The Way of DeFi0xfoobar
原文の編集: The Way of DeFi
「突然、私の財布に未知の NFT コレクションがエアドロップされました。そして誰かが 1 WETH でオファーを出しました。何が起こっているのですか? それを受け入れても安全ですか?」
簡単に言えば、これらは詐欺であり、やり取りから利益を得ることはできません。では、これらの詐欺がどのように行われるかを理解しましょう。
OpenSea の仕組みは、トークン コントラクト上で直接呼び出す特別なスマート コントラクト機能である「承認」を通じて NFT または WETH を転送することです。それは言う:
「トークン契約、私の資金または JPG がこの市場契約で使用されることを許可してください。」
これは危険です!ただし一方向のみ。マーケットプレイスが悪意のあるものである場合、資金や JPG が盗まれる可能性があります。ただし、ファンドや JPG が悪意のあるものであれば、市場を盗むことは「できません」。
不適切に設計されたマーケットプレイスには、ある承認されたセットが別の承認されたセットを盗むことを可能にする抜け穴がある可能性があります。そのため、当社では堅牢で十分にテストされたサイトのみを使用します。
以下は、opensea で使用されている古い Wyvern コントラクトを使用した攻撃の例です。
したがって、資金/JPG 契約を呼び出すことによってのみ、資金/JPG を使用する外部契約を承認できます。
外部契約を呼び出すのではなく。
これが、トランザクションが悪意のあるコントラクトに直接送信され、生の ETH を支払い機能に送信しない限り、理論上は悪意のあるコントラクトと対話することが「安全」である理由です。
ただし、この危険な操作を自分で試さないように注意してください。
もちろん、人々が外部コントラクトとやり取りしていると思っていても、実際にはお金/JPG コントラクトとやり取りしている場合、危険が発生します。
ウェブサイトがポップアップして「ここをクリックして ape をアクティベートします」と表示されますが、ウォレットのトランザクションには実際には「SET APPROVAL FOR ALL」と表示されます。
酔っている/ハイになっている/眠い/フォモの組み合わせの影響を受けて、人々は自分の人生の貯蓄を他の人に寄付するために登録します。
それでは、ハッカーがあなたの財布や資産を制御できない場合、これらの偽のNFTオファーゲームの計画は何ですか?
悪意のある攻撃者は、次のようないくつかの攻撃スキームを使用しました。
NFT を使用するための opensea マーケット契約を承認し、そのオファーを受け入れようとすると、オファーの受け入れが再開されます。エラー メッセージには、Web サイトにアクセスすると、悪意のあるトランザクションに署名させようとする URL が含まれています。
NFT は一種のプロキシ コントラクトであり、後で別の実装ロジックに置き換えることができます。
以下は、260 の異なるアドレスからダスト トランザクションを受信するアドレスです。各アドレスは、一意のコレクションを装う代理契約を作成しました。
ここ
ここプロキシ パターンについてはさらに詳しく説明します。
最近の NFT プロキシ展開者は、プロキシで承認を呼び出した場合にすべての NFT を盗むことができる秘密の機能を開発したと信じている人もいます。
上で述べた理由により、これは完全に間違っているようです。
ガスの最適化は、最も可能性の高いプロキシ使用の想定です。
結論は:
結論は:
偽のWETHオファーにより、そのNFTの販売を承認できますが、オファーを受け入れようとすると取引が再開されます。これにより、ガス料金が無駄になり、同時に Etherscan 上のメッセージが元に戻り、フィッシング Web サイトに誘導されます。
元のリンク
