NFT:三分钟看懂NFT空投新局：通过虚假WETH报价盗取资产

“我的钱包突然获得了一个未知NFT收藏品的空投，然后有人提供了1WETH的报价。这是怎么回事？接受它安全吗？”

长话短说，这些都是局，你无法通过交互获利。现在，让我们来了解一下这些局的原理！OpenSea的工作方式是通过“授权”来转移你的NFT或WETH，而“授权”是你直接在代币合约上调用的特殊智能合约功能。它说：“代币合约，请允许这个市场合约使用的我的资金或JPG。”

调查：近三分之一美国加密货币投资者拥有狗狗币:10月27日消息，根据“Finder”最近所做的一项调查，30.6%的加密货币投资者表示他们拥有狗狗币，这是狗狗币全球平均采用率19.2%的1.6倍。（theepochtimes）[2021/10/27 21:01:42]

这是危险的！但仅限于一个方向。如果市场是恶意的，那它就可以窃取你的资金和JPG。但是，如果资金/JPG是恶意的，那他们“就无法”窃取你的市场。设计不佳的市场可能会存在一个漏洞，允许一个已授权的集合窃取另一个已授权的集合。这就是为什么我们要只使用健壮的、经过良好测试的网站。下面是利用opensea使用的旧Wyvern合约进行攻击的示例：

数据：以太坊平均Gas费用降至最高点的三分之一:欧科云链OKLink数据显示，以太坊建议Gas费用骤降，当前为106.63Gwei。上周因Defi挖矿热潮，以太坊平均Gas费持续上涨，于9月2日涨至历史峰值514.54Gwei，随着近日行情有所降温，Gas费用也出现回落。截至9月6日，平均Gas费降至最高点的三分之一，降至183Gwei。[2020/9/7]

动态 | 最后三分钟 连出两个区块:金色财经直播，BCH硬分叉大战，距离BCH硬分叉仅剩3分钟，连出两个区块，当前区块高度556760。[2018/11/16]

因此，你只能通过调用资金/JPG合约来批准使用资金/JPG的外部合约。而不是通过调用一个外部合约。这就是为什么理论上与恶意合约交互是“安全的”，前提是你的交易直接进入恶意合约，并且你没有将任何原始ETH发送到payable函数。但请注意，不要自己尝试这种危险操作。当然，当人们认为他们正在与外部合约交互，但实际上正在与他们的资金/JPG合约交互时，就会发生危险。会有一个网站跳出来跟你说：“点击此处以激活你的猿猴”，但钱包交易说的实际是“SETAPPROVALFORALL”。在醉酒/兴奋/昏昏欲睡/fomo等情绪组合的影响下，人们就会签名将他们的毕生积蓄拱手让给他人。那么，如果黑客无法控制你的钱包或资产，这些虚假的NFT报价游戏的计划是什么呢？恶意行为者使用了几种攻击计划：当你批准opensea市场合约以使用你的NFT，然后尝试接受该报价时，报价接受将会恢复。错误消息会包含一个URL，如果你访问该网站，它会试图让你签署一笔恶意交易。NFT是一种代理合约，它可以在之后替换为不同的实现逻辑。以下是一个从260个不同地址接收dust粉尘交易的地址，其中每个地址都创建了一个代理合约，以伪装成一个唯一的集合。

这些不良行为者的命中率很低，因此为了gas优化，他们将使用具有重NFT代码逻辑的单个实现合约，并部署许多看似独立集合的轻量级代理。这里有更多关于代理模式的内容。一些人认为，最近的NFT代理部署者开发了秘密功能，如果你在代理上调用approve，那他就可以窃取你的所有NFT。出于上述的原因，这似乎是完全错误的。gas优化是最可能的代理使用假设。OpenSea前端在它调用的集合功能方面相当封闭，因此大多数虚假的WETH报价，只是为了引诱你去一个钓鱼网站。总结一下：虚假WETH报价将允许你批准该NFT的销售，但在你尝试接受报价时，交易会恢复。这会导致你浪费了gas手续费，同时又在Etherscan上revert消息引诱你进入钓鱼网站。请保护好自己的钱包安全！原地址

标签：NFTGASETHWETzkNFTexGASC币DSETH币Wettok Market

SOL热门资讯