Hiểu trò lừa đảo airdrop NFT mới trong ba phút: Đánh cắp tài sản thông qua báo giá WETH sai

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

Hiểu trò lừa đảo airdrop NFT mới trong ba phút: Đánh cắp tài sản thông qua báo giá WETH sai

DeFi之道

2022-05-31 13:00

本文约1241字，阅读全文需要约5分钟

Hãy cảnh giác với các đợt airdrop NFT không xác định, những thứ từ trên trời rơi xuống rất có thể là một cái bẫy.

Tổng hợp văn bản gốc: The Way of DeFi0xfoobar

Tổng hợp văn bản gốc: The Way of DeFi

"Đột nhiên ví của tôi nhận được airdrop của một bộ sưu tập NFT không xác định, và sau đó ai đó đưa ra đề nghị mua 1 WETH. Chuyện gì đang xảy ra vậy? Có an toàn để chấp nhận nó không?"

Tóm lại, đây là những trò gian lận và bạn không thể kiếm lợi từ sự tương tác. Bây giờ, hãy hiểu cách thức hoạt động của những trò gian lận này!

Cách thức hoạt động của OpenSea là chuyển NFT hoặc WETH của bạn thông qua "ủy quyền", là các chức năng hợp đồng thông minh đặc biệt mà bạn gọi trực tiếp trên hợp đồng mã thông báo. nó nói rằng:

"Hợp đồng mã thông báo, vui lòng cho phép tiền của tôi hoặc JPG được sử dụng bởi hợp đồng thị trường này."

Điều này nguy hiểm! Nhưng chỉ theo một hướng. Nếu thị trường độc hại, nó có thể đánh cắp tiền và JPG của bạn. Tuy nhiên, nếu quỹ/JPG độc hại, chúng "không thể" đánh cắp thị trường của bạn.

Một thị trường được thiết kế kém có thể có kẽ hở cho phép một bộ được ủy quyền đánh cắp một bộ được ủy quyền khác. Đó là lý do tại sao chúng tôi chỉ sử dụng các trang web mạnh mẽ, đã được thử nghiệm tốt.

Đây là một ví dụ về một cuộc tấn công sử dụng hợp đồng Wyvern cũ được sử dụng bởi opensea:

Do đó, bạn chỉ có thể phê duyệt các hợp đồng bên ngoài sử dụng tiền/JPG bằng cách gọi hợp đồng tiền/JPG.

chứ không phải bằng cách gọi một hợp đồng bên ngoài.

Đây là lý do tại sao về mặt lý thuyết, việc tương tác với hợp đồng độc hại là "an toàn", miễn là giao dịch của bạn chuyển trực tiếp đến hợp đồng độc hại và bạn không gửi bất kỳ ETH thô nào đến chức năng thanh toán.

Nhưng hãy cẩn thận đừng tự mình thử hoạt động nguy hiểm này.

Tất nhiên, nguy hiểm xảy ra khi mọi người nghĩ rằng họ đang tương tác với một hợp đồng bên ngoài, nhưng thực tế là đang tương tác với hợp đồng tiền/JPG của họ.

Một trang web sẽ bật lên và nói: "Nhấp vào đây để kích hoạt vượn của bạn", nhưng giao dịch ví thực sự có nội dung "ĐẶT PHÊ DUYỆT CHO TẤT CẢ".

Dưới ảnh hưởng của sự kết hợp say rượu/phê/buồn ngủ/fomo, mọi người đăng ký để đưa tiền tiết kiệm cả đời của họ cho người khác.

Vậy kế hoạch cho các trò chơi cung cấp NFT giả mạo này là gì nếu tin tặc không thể kiểm soát ví hoặc tài sản của bạn?

Các tác nhân độc hại đã sử dụng một số kế hoạch tấn công:

Việc chấp nhận phiếu mua hàng sẽ tiếp tục khi bạn chấp thuận hợp đồng thị trường ngoài khơi để sử dụng NFT của mình, sau đó cố gắng chấp nhận phiếu mua hàng đó. Thông báo lỗi sẽ chứa một URL mà nếu bạn truy cập trang web, nó sẽ cố gắng khiến bạn ký một giao dịch độc hại.
NFT là một loại hợp đồng ủy quyền, có thể được thay thế bằng logic triển khai khác sau này.

Dưới đây là một địa chỉ nhận các giao dịch bụi từ 260 địa chỉ khác nhau, mỗi địa chỉ đã tạo một hợp đồng ủy quyền để giả dạng là một bộ sưu tập duy nhất.

đây

đâyCó nhiều hơn về các mẫu Proxy.

Một số người tin rằng những người triển khai proxy NFT gần đây đã phát triển chức năng bí mật cho phép họ đánh cắp tất cả NFT của bạn nếu bạn yêu cầu phê duyệt trên proxy.

Vì những lý do nêu trên, điều này dường như là hoàn toàn sai lầm.

Tối ưu hóa gas là giả định sử dụng proxy có khả năng nhất.

Tóm lại là:

Ưu đãi WETH giả sẽ cho phép bạn phê duyệt việc bán NFT đó, nhưng khi bạn cố gắng chấp nhận ưu đãi, giao dịch sẽ tiếp tục. Điều này sẽ khiến bạn tốn phí gas, đồng thời hoàn nguyên các tin nhắn trên Etherscan để dụ bạn đến các trang web lừa đảo.

liên kết gốc