원문 편집: The Way of DeFi0xfoobar
원문 편집: The Way of DeFi
"갑자기 내 지갑에 알 수 없는 NFT 수집품의 에어드롭이 들어왔고 누군가 1 WETH에 대한 제안을 했습니다. 무슨 일이죠? 수락해도 안전한가요?"
간단히 말해, 이들은 사기이며 상호 작용을 통해 이익을 얻을 수 없습니다. 이제 이러한 사기가 어떻게 작동하는지 이해합시다!
OpenSea가 작동하는 방식은 토큰 계약에서 직접 호출하는 특수 스마트 계약 기능인 "인증"을 통해 NFT 또는 WETH를 전송하는 것입니다. 그것은 말한다 :
"토큰 컨트랙트, 이 마켓 컨트랙트에서 제 자금이나 JPG를 사용할 수 있게 해주세요."
이건 위험해! 단, 한 방향으로만. 시장이 악의적인 경우 자금과 JPG를 훔칠 수 있습니다. 그러나 펀드/JPG가 악의적인 경우 시장을 훔칠 수 없습니다.
잘못 설계된 마켓플레이스에는 하나의 승인된 세트가 다른 승인된 세트를 훔칠 수 있는 허점이 있을 수 있습니다. 이것이 우리가 강력하고 잘 테스트된 사이트만 사용하는 이유입니다.
다음은 opensea에서 사용하는 이전 Wyvern 계약을 사용한 공격의 예입니다.
따라서funds/JPG 컨트랙트를 호출하여 fund/JPG를 사용하는 외부 컨트랙트만 승인할 수 있습니다.
외부 계약을 호출하는 대신.
이것이 이론적으로 악의적인 계약과 상호 작용하는 것이 "안전"한 이유입니다. 거래가 악의적인 계약으로 직접 이동하고 지불 가능한 기능에 원시 ETH를 보내지 않는 경우입니다.
그러나이 위험한 작업을 직접 시도하지 않도록주의하십시오.
물론 사람들이 외부 계약과 상호 작용한다고 생각하지만 실제로는 돈/JPG 계약과 상호 작용할 때 위험이 발생합니다.
웹사이트가 뜨고 "원숭이를 활성화하려면 여기를 클릭하십시오"라고 말하지만 지갑 거래에는 실제로 "모두에게 승인 설정"이라고 표시됩니다.
술 취한/취한/나른한/포모 조합의 영향으로 사람들은 자신이 저축한 생명을 다른 사람에게 주기 위해 가입합니다.
그렇다면 해커가 지갑이나 자산을 제어할 수 없는 경우 이러한 가짜 NFT 제안 게임에 대한 계획은 무엇입니까?
악의적인 행위자는 다음과 같은 몇 가지 공격 체계를 사용했습니다.
NFT를 사용하기 위해 opensea 시장 계약을 승인한 다음 해당 제안 수락을 시도하면 제안 수락이 재개됩니다. 오류 메시지에는 웹 사이트를 방문하는 경우 악의적인 트랜잭션에 서명하도록 시도하는 URL이 포함됩니다.
NFT는 일종의 프록시 계약으로 나중에 다른 구현 로직으로 대체될 수 있습니다.
아래는 260개의 서로 다른 주소에서 더스트 거래를 받는 주소이며, 각 주소는 고유한 컬렉션으로 위장하기 위해 대리 계약을 생성했습니다.
여기
여기프록시 패턴에 대한 자세한 내용이 있습니다.
일부에서는 최근 NFT 프록시 배포자가 프록시에서 승인을 요청하면 모든 NFT를 훔칠 수 있는 비밀 기능을 개발했다고 생각합니다.
위에서 언급한 이유로 이것은 완전히 잘못된 것 같습니다.
가스 최적화는 가장 가능성이 높은 프록시 사용 가정입니다.
결론적으로:
결론적으로:
가짜 WETH 제안을 사용하면 해당 NFT의 판매를 승인할 수 있지만 제안을 수락하려고 하면 거래가 재개됩니다. 이로 인해 가스 요금이 낭비되고 동시에 Etherscan의 메시지가 되돌려 피싱 웹사이트로 유인됩니다.
원본 링크
