原文編譯:0x9F、czgsws,BlockBeats
原文編譯:0x9F、czgsws,BlockBeats
原文編譯:0x9F、czgsws,BlockBeats
原文編譯:0x9F、czgsws,BlockBeatsgoblintown本文梳理自Web3 創作者工具應用Sprise 和Pally.gg 聯合創始人Montana Wong 在個人社交媒體平台上的觀點,BlockBeats 對其整理翻譯如下:
「degen meta」是NFT 領域的當前趨勢,團隊以Free Mint 的形式啟動項目,很少或直接不提供項目路線圖,這種形式被諸如
等項目成功帶火。這種形式在熊市中很好,因為Free Mint 起碼不會虧本。
騙子們利用這一點。他們現在不再創建虛假項目來騙取你的ETH,而是營造FOMO 氣氛誘導你參加免費的「degen」Mint 項目,騙你授予他們權限轉走你錢包裡NFT。
通常他們首先使用Premint 等合法服務,為他們的預售名單抽獎。 Premint 不會對使用他們服務的項目做任何審查,但很多人不知道這一點,還以為這些抽獎活動「有Premint 背書」。
更糟糕的是,Premint 允許抽獎創建者提出某些要求,例如「必須持有1 枚Moonbirds NFT」才能參加。這可以在不經過原項目方同意的情況下,搞出假裝得到官方認可的虛假抽獎活動。aLL tHiNg bEgiNs「白名單預售」時你仍然會用持有高價值NFT 的錢包參與鑄造,因為最初參與抽獎需要用到它們。這就是你的NFT 會被盜的地方,讓我們看看這是如何進行的。
今天這一騙局出現了一個新版本「
」,導致幾枚高價值的Moonbirds NFT 被盜。goblintown如果你去他們的網站,它看起來就像一個典型的擺爛Free Mint 項目,帶有連接錢包和Mint 選項。不過一旦你深入了解,就會發現這個網站絕不是這麼簡單。
可以注意到的第一件事,就是他們網站的大量代碼都複製自
網站。
其次,如果你查看頁面上的JavaScript,有一個名為signupxx44777.js 的文件,這就是漏洞所在。
連接錢包後,該代碼就會開始運作,字面上寫著「drain NFTs」。然而該代碼的真正目的是:
1. 瀏覽你地址裡的內容
2. 使用OpenSea 的API 來確定哪個是你最值錢的NFT
3. 識別出你最值錢的NFT 並找到它的智能合約信息
4. 一旦你點擊「mint」,它就會產生一筆交易與你最值錢的NFT 的合約發生交互,這一setApprovalForAll 交易會授予騙子轉走你NFT 的權限
因此,儘管你認為你只是執行了一次典型的Free Mint 交易,但實際上你已經允許騙子從你的錢包中轉走那些你最值錢的NFT,簡單粗暴。
總之,這一漏洞利用的工作原理如下:
1. 圍繞免費的Degen Mint 項目進行炒作,使用Premint 等合法工具誘使高價值錢包參與
2. 創建一個帶有惡意JavaScript 的網站,掃描你的錢包以獲得最高價值的NFT
這些騙局中大部分可能都是一個人搞出來的,一定要注意安全。如果你認為自己受到了這些騙局之一的影響,你可以通過revoke.cash原文鏈接
