オリジナルのコンパイル: 0x9F、czgsws、BlockBeats
オリジナルのコンパイル: 0x9F、czgsws、BlockBeats
この記事は、Web3 クリエーター ツール アプリケーション Sprise および Pally.gg の共同創設者である Montana Wong 氏の個人的なソーシャル メディア プラットフォームでの見解に基づいており、BlockBeats では次のように整理して翻訳しています。
「デゲンメタ」は、NFT 分野の現在のトレンドです。チームは、プロジェクトのロードマップがほとんどまたはまったく提供されずに、Free Mint の形式でプロジェクトを開始します。この形式は、次のようなユーザーによって使用されます。goblintownプロジェクトが成功するまで待ちます。 Free Mint は少なくともお金を失う可能性がないため、このパターンは弱気市場では問題ありません。
詐欺師はこれを利用します。 ETHをだまし取る偽のプロジェクトを作成する代わりに、FOMOの雰囲気を作り出し、無料の「degen」Mintプロジェクトに参加するよう誘導し、ウォレットにNFTを転送する許可を与えるように騙します。
多くの場合、彼らは Premint のような正規のサービスを利用して、販売前の商品の賞品を抽選することから始めます。 Premint は自社のサービスを利用しているプロジェクトの審査を行っていませんが、多くの人はこれを知らず、これらの懸賞が「Premint によって承認されている」と考えています。
さらに悪いことに、Premintは懸賞作成者が参加するには「Moonbirds NFTを1つ保持している必要がある」などの特定の要件を課すことを許可しています。これにより、元のプロジェクト当事者の同意なしに、公式に認められたように装った偽の宝くじが作成される可能性があります。
「ホワイトリストプレセール」中も、初期抽選に参加するために必要なため、高額のNFTを保持するウォレットを使用して鋳造に参加することになります。ここでNFTが盗まれる可能性があります。これがどのように機能するかを見てみましょう。
今日、この詐欺の新しいバージョンがあります。」aLL tHiNg bEgiNs」と、いくつかの高額なムーンバーズNFTの盗難につながりました。
彼らのウェブサイトにアクセスすると、リンクウォレットとMintオプションを備えた典型的なクソFree Mintプロジェクトのように見えます。しかし、深く掘り下げてみると、このウェブサイトは決してそれほど単純ではないことがわかります。
最初に気づくのは、サイトのコードの多くが以下からコピーされていることです。goblintownWebサイト。
次に、ページ上の JavaScript を見ると、signupxx44777.js というファイルがあり、そこに脆弱性があります。
ウォレットが接続されると、コードが起動し、文字通り「NFTを排出」します。ただし、コードの本当の目的は次のとおりです。
1. アドレスの内容を参照します。
2. OpenSea の API を使用して、どれが最も価値のある NFT であるかを判断します
3.最も価値のあるNFTを特定し、そのスマートコントラクト情報を見つけます
4. 「ミント」をクリックすると、最も価値のある NFT のコントラクトを操作するためのトランザクションが生成されます。この setApprovalForAll トランザクションにより、詐欺師に NFT を転送する許可が与えられます。
したがって、典型的な Free Mint トランザクションを実行しているだけだと思っていても、実際には、単純明快に、詐欺師がウォレットから最も貴重な NFT の一部を転送することを許可していることになります。
要約すると、このエクスプロイトは次のように機能します。
1. Premint のような正規のツールを使用して、無料の Degen Mint プロジェクトを宣伝し、価値の高いウォレットの参加を促します。
2.ウォレットをスキャンして最も価値の高いNFTを見つける悪意のあるJavaScriptを使用したWebサイトを作成します
3. 偽の Mint オプションは実際には Mint トランザクションを生成しませんが、詐欺師に NFT 権限を転送する許可を与える悪意のあるトランザクションを作成します。
4. 同じコードを使用して、別の「プロジェクト」で手順 1 ~ 3 を繰り返します。
こうした詐欺の多くは単独で行われる可能性が高いため、安全には十分に注意してください。これらの詐欺のいずれかの影響を受けたと思われる場合は、次のことができます。revoke.cash元のリンク
