NFT 市場上出現新型態釣魚騙局,近期有許多用戶會接收到來路不明的 NFT 空投,這種 NFT 同時會在 OpenSea 上出現高報價。但一旦用戶接受報價,報價會被撤回,用戶接下來還會被引誘前往釣魚網站,進而恐損失自身 NFT 等資產。
(前情提要:OpenSea「NFT內容治理」困境:從 Okay Bears 最熱仿盤下架事件談起)
DeFi、NFT、MEV 開發者 foobar 今日在推特上警告
🧵Exploring the latest NFT scam 🧵
“”I got an NFT airdrop from an unknown collection into my wallet with a 1 WETH offer. What’s going on? Is it safe to accept?” pic.twitter.com/0ZEVLWVzp7
— foobar (@0xfoobar) May 30, 2022
針對惡意攻擊者要如何進行詐騙,foobar 首先解釋了 OpenSea 的運作原理:
OpenSea 的工作方式是通過「批准」來轉移你的 NFT 或 WETH,批准指的是你直接在代幣合約上調用特殊智能合約功能,這代表的意思是「代幣合約,請允許這個市場的合約使用我的資金或 jpegs」。
這是危險的!但僅限於一個方向,如果市場方是惡意的,它可以竊取你的資金/jpeg,但是,如果資金/jpeg 是惡意的,他們「無法」竊取您的市場。
This is dangerous! But only in one direction. If the marketplace is malicious, it can steal your money/jpegs. But if the money/jpegs are malicious, they *cannot* steal your marketplace.
— foobar (@0xfoobar) May 30, 2022
有鑒於此,foobar 指出,用戶只能通過調用資金/jpegs 合約、而非通過調用外部合約,來授權外部合約使用用戶本身的資金/jpegs ,因此,他進一步解釋,當人們認為他們正在與外部合約互動、但實際上是在與他們的貨幣/jpegs 合約互動時,就會發生危險。
foobar 舉例表示, 一個網站可能會顯示「點擊這裡,為你的猿製作動畫」,但事實上,錢包交易上實際可能會是「將所有權限全部批准出去」,這就會讓用戶的畢生積蓄陷入危險之中。
小心新型態釣魚
foobar 指出,當前惡意攻擊者的手法是:
1) 當您批准 OpenSea 市場合約,以使用您的 NFT 並嘗試接受報價時,報價接受將撤回。報價錯誤消息會包含一個網址,如果您訪問該網站,它會試圖讓您簽署惡意交易。
2)NFT 是一個代理合約,可以通過不同的實施邏輯來交易。
這是一個從 260 個不同地址接收粉塵交易(dust)的地址,其中每個地址都創建了一個代理合約,以偽裝成一個獨特的收藏品系列。
2) The NFT is a proxy contract that can be swapped out for different implementation logic later.
Here is an address that receives dust from 260 separate addresses that each created one proxy contract pretending to be a unique collection. https://t.co/eK9Q2xdjYu
— foobar (@0xfoobar) May 30, 2022
foobar 最後總結道,虛假 WETH 的報價將誘惑用戶批准 NFT 的銷售,但在用戶嘗試接受報價時,交易又會撤回,這會導致用戶浪費了 Gas 手續費,同時又在 Etherscan 被交易錯誤資訊處引誘進釣魚網站,提醒用戶應該注意安全。
與此同時,NFT 項目 Kaijus Reborn 創辦人 Hydraze 也發推提醒,惡意攻擊者會空投不明 NFT 給用戶,然後提供 1-2 個 ETH 的高報價,但用戶應小心 OpenSea 上的 WETH 報價,一旦用戶接受報價,錢包內的資金可能會被盜取。
