原文編譯:DeFi之道0xfoobar
原文編譯:DeFi之道
原文編譯:DeFi之道
原文編譯:DeFi之道
“我的錢包突然獲得了一個未知NFT 收藏品的空投,然後有人提供了1 WETH 的報價。這是怎麼回事?接受它安全嗎?”
長話短說,這些都是騙局,你無法通過交互獲利。現在,讓我們來了解一下這些騙局的原理!
OpenSea 的工作方式是通過“授權”來轉移你的NFT 或WETH,而“授權”是你直接在代幣合約上調用的特殊智能合約功能。它說:
“代幣合約,請允許這個市場合約使用的我的資金或JPG。”
這是危險的!但僅限於一個方向。如果市場是惡意的,那它就可以竊取你的資金和JPG。但是,如果資金/JPG 是惡意的,那他們“就無法”竊取你的市場。
設計不佳的市場可能會存在一個漏洞,允許一個已授權的集合竊取另一個已授權的集合。這就是為什麼我們要只使用健壯的、經過良好測試的網站。
下面是利用opensea 使用的舊Wyvern 合約進行攻擊的示例:
因此,你只能通過調用資金/JPG 合約來批准使用資金/JPG 的外部合約。
而不是通過調用一個外部合約。
這就是為什麼理論上與惡意合約交互是“安全的”,前提是你的交易直接進入惡意合約,並且你沒有將任何原始ETH 發送到payable 函數。
但請注意,不要自己嘗試這種危險操作。
當然,當人們認為他們正在與外部合約交互,但實際上正在與他們的資金/JPG 合約交互時,就會發生危險。
會有一個網站跳出來跟你說:“點擊此處以激活你的猿猴”,但錢包交易說的實際是“SET APPROVAL FOR ALL”(將所有權限全部批准出去)。
在醉酒/興奮/昏昏欲睡/fomo 等情緒組合的影響下,人們就會簽名將他們的畢生積蓄拱手讓給他人。
那麼,如果黑客無法控制你的錢包或資產,這些虛假的NFT 報價遊戲的計劃是什麼呢?
惡意行為者使用了幾種攻擊計劃:
以下是一個從260 個不同地址接收dust 粉塵交易的地址,其中每個地址都創建了一個代理合約,以偽裝成一個唯一的集合。
這裡
這裡這裡
這裡
有更多關於代理模式的內容。
gas 優化是最可能的代理使用假設。
總結一下:
總結一下:
虛假WETH 報價將允許你批准該NFT 的銷售,但在你嘗試接受報價時,交易會恢復。這會導致你浪費了gas 手續費,同時又在Etherscan 上revert 消息引誘你進入釣魚網站。
原文鏈接
