2022 年 7 月 2 日
ccryptoo 1 1654049656

NFT新型釣魚示警!用戶收到「來路不明空投」、在OpenSea上假性報高價

NFT 市場上出現新型態釣魚騙局,近期有許多用戶會接收到來路不明的 NFT 空投,這種 NFT 同時會在 OpenSea 上出現高報價。但一旦用戶接受報價,報價會被撤回,用戶接下來還會被引誘前往釣魚網站,進而恐損失自身 NFT 等資產。
(前情提要:OpenSea「NFT內容治理」困境:從 Okay Bears 最熱仿盤下架事件談起

 

DeFi、NFT、MEV 開發者 foobar 今日在推特上警告

針對惡意攻擊者要如何進行詐騙,foobar 首先解釋了 OpenSea 的運作原理:

OpenSea 的工作方式是通過「批准」來轉移你的 NFT 或 WETH,批准指的是你直接在代幣合約上調用特殊智能合約功能,這代表的意思是「代幣合約,請允許這個市場的合約使用我的資金或 jpegs」。

這是危險的!但僅限於一個方向,如果市場方是惡意的,它可以竊取你的資金/jpeg,但是,如果資金/jpeg 是惡意的,他們「無法」竊取您的市場。

有鑒於此,foobar 指出,用戶只能通過調用資金/jpegs 合約、而非通過調用外部合約,來授權外部合約使用用戶本身的資金/jpegs ,因此,他進一步解釋,當人們認為他們正在與外部合約互動、但實際上是在與他們的貨幣/jpegs 合約互動時,就會發生危險。

foobar 舉例表示, 一個網站可能會顯示「點擊這裡,為你的猿製作動畫」,但事實上,錢包交易上實際可能會是「將所有權限全部批准出去」,這就會讓用戶的畢生積蓄陷入危險之中。

小心新型態釣魚

foobar 指出,當前惡意攻擊者的手法是:

1) 當您批准 OpenSea 市場合約,以使用您的 NFT 並嘗試接受報價時,報價接受將撤回。報價錯誤消息會包含一個網址,如果您訪問該網站,它會試圖讓您簽署惡意交易。

2)NFT 是一個代理合約,可以通過不同的實施邏輯來交易。
這是一個從 260 個不同地址接收粉塵交易(dust)的地址,其中每個地址都創建了一個代理合約,以偽裝成一個獨特的收藏品系列。

foobar 最後總結道,虛假 WETH 的報價將誘惑用戶批准 NFT 的銷售,但在用戶嘗試接受報價時,交易又會撤回,這會導致用戶浪費了 Gas 手續費,同時又在 Etherscan 被交易錯誤資訊處引誘進釣魚網站,提醒用戶應該注意安全。

與此同時,NFT 項目 Kaijus Reborn 創辦人 Hydraze 也發推提醒,惡意攻擊者會空投不明 NFT 給用戶,然後提供 1-2 個 ETH 的高報價,但用戶應小心 OpenSea 上的 WETH 報價,一旦用戶接受報價,錢包內的資金可能會被盜取。

📍