木星链 木星链
Ctrl+D收藏木星链
首页 > SAND > 正文

NFT:三分钟看懂NFT空投新局:通过虚假WETH报价盗取资产

作者:

时间:1900/1/1 0:00:00

原文作者:NFT&MEV开发者0xfoobar

原文编译:DeFi之道

“我的钱包突然获得了一个未知NFT收藏品的空投,然后有人提供了1WETH的报价。这是怎么回事?接受它安全吗?”

长话短说,这些都是局,你无法通过交互获利。现在,让我们来了解一下这些局的原理!

OpenSea的工作方式是通过“授权”来转移你的NFT或WETH,而“授权”是你直接在代币合约上调用的特殊智能合约功能。它说:

“代币合约,请允许这个市场合约使用的我的资金或JPG。”

数据:以太坊网络平均交易费较上月下降约三分之一至7.34美元:6月5日消息,由于meme狂潮和MEV Bot活动,以太坊网络的平均交易费在5月达到数月高点后,在6月的第一周大幅下降,已降至7.34美元,比上个月20美元的高点下降了近三分之一。就Gwei而言,根据Dune Analytics数据,Gas价格的每日中位数为1枚ETH的十亿分之一,已从上个月近140 gwei的峰值降至24 gwei。[2023/6/5 21:16:59]

这是危险的!但仅限于一个方向。如果市场是恶意的,那它就可以窃取你的资金和JPG。但是,如果资金/JPG是恶意的,那他们“就无法”窃取你的市场。

知情人士:Alameda曾在2018年XRP的交易中损失超过三分之二的资产:金色财经报道,在FTX倒闭之前,人们认为Alameda Research是业内顶级的量化交易公司和做市商之一。然而,这种看法在很大程度上可能只是表面现象,最近的一份报告详细说明Alameda早在 2018年就遭遇了财务困境。知情人士表示,2018年春季,Alameda因押注XRP而遭受重创,损失了Alameda超过三分之二的资产。知情人士解释说,因此SBF开始再次征集贷款,并承诺20%的回报率。《华尔街日报》看到的一份文件显示,SBF的律师解释了Alameda如何在向贷方进行的一次特定推销中成为顶级做市商,但律师没有透露任何财务信息。

此外,报告详细说明,当SBF创办Alameda时,这家贸易公司通过套利赚取了数百万美元。作为套利者,SBF声称机会来自日本和韩国等国家,因为比特币在这些地区交易溢价。由于在韩国存在所谓的“泡菜溢价”,SBF表示BTC有时会高出30%,在日本则高出10%。有大量报道强调Alameda通过加密货币套利赚取了数百万美元,但《华尔街日报》最近于 2022 年 12 月 31 日发表的一篇报道详细说明了Alameda的交易并不总是有利可图。[2023/1/3 22:21:17]

设计不佳的市场可能会存在一个漏洞,允许一个已授权的集合窃取另一个已授权的集合。这就是为什么我们要只使用健壮的、经过良好测试的网站。

媒体:萨尔瓦多2020年GDP不到比特币市值三分之一:金色财经报道,据半岛电视台消息,萨尔瓦多将比特币定为法币后仍需面临诸多问题,主要原因是萨尔瓦多是一个小国,其2019年的国内生产总值为269亿美元,而在2020年,因新冠危机产生的负面影响,该国的国内生产总值减少至246亿美元,只占到比特币市值的27%左右。另外还需要关注萨尔瓦多应对比特币价值波动的能力,许多公民可能并不喜欢使用比特币进行交易,尽管法律规定了接受该货币的义务,但是人们的利益会因此面临更多的风险。[2021/9/10 23:14:14]

下面是利用opensea使用的旧Wyvern合约进行攻击的示例:

因此,你只能通过调用资金/JPG合约来批准使用资金/JPG的外部合约。

而不是通过调用一个外部合约。

这就是为什么理论上与恶意合约交互是“安全的”,前提是你的交易直接进入恶意合约,并且你没有将任何原始ETH发送到payable函数。

但请注意,不要自己尝试这种危险操作。

当然,当人们认为他们正在与外部合约交互,但实际上正在与他们的资金/JPG合约交互时,就会发生危险。

会有一个网站跳出来跟你说:“点击此处以激活你的猿猴”,但钱包交易说的实际是“SETAPPROVALFORALL”。

在醉酒/兴奋/昏昏欲睡/fomo等情绪组合的影响下,人们就会签名将他们的毕生积蓄拱手让给他人。

那么,如果黑客无法控制你的钱包或资产,这些虚假的NFT报价游戏的计划是什么呢?

恶意行为者使用了几种攻击计划:

当你批准opensea市场合约以使用你的NFT,然后尝试接受该报价时,报价接受将会恢复。错误消息会包含一个URL,如果你访问该网站,它会试图让你签署一笔恶意交易。

NFT是一种代理合约,它可以在之后替换为不同的实现逻辑。

以下是一个从260个不同地址接收dust粉尘交易的地址,其中每个地址都创建了一个代理合约,以伪装成一个唯一的集合。

这些不良行为者的命中率很低,因此为了gas优化,他们将使用具有重NFT代码逻辑的单个实现合约,并部署许多看似独立集合的轻量级代理。

这里有更多关于代理模式的内容。

一些人认为,最近的NFT代理部署者开发了秘密功能,如果你在代理上调用approve,那他就可以窃取你的所有NFT。

出于上述的原因,这似乎是完全错误的。

gas优化是最可能的代理使用假设。

OpenSea前端在它调用的集合功能方面相当封闭,因此大多数虚假的WETH报价,只是为了引诱你去一个钓鱼网站。

总结一下:

虚假WETH报价将允许你批准该NFT的销售,但在你尝试接受报价时,交易会恢复。这会导致你浪费了gas手续费,同时又在Etherscan上revert消息引诱你进入钓鱼网站。

请保护好自己的钱包安全!

标签:NFTMEDAMEDALAdogenftmedallioncoinMEMEDOGEgalaxy币矿机

SAND热门资讯
TER:LUNA重启2.0,还打算碰吗?

相信各位小伙伴多年后,回顾22年的市场时,Terra(LUNA)将是一个无法绕开的名字,作为增经的市值前十,一度近乎归零的公链,其崩盘速度是极快的,影响是非常大的,尤其是韩国那边.

1900/1/1 0:00:00
coinbase:冷风说币:日线大阳,有望开启大反弹!2022.05.31

市场消息币圈热门“跑鞋”项目STEPN在其官方社交媒体上发布《关于清退账户的公告》,称将对软件用户进行清查,若发现地区用户.

1900/1/1 0:00:00
DEFI:XT.COM關於恢復上線LUNA的公告

尊敬的XT.COM用戶:XT.COM即將恢復LUNA上線,LUNA/USDT交易將於2022年6月1日11:10開啟.

1900/1/1 0:00:00
ARCO:关于FZT开启提币的通知

亲爱的用户:FZT已于2022年4月30日16:00开启提币业务,最小提币数量为0.001个FZT。PearCoin不为任何项目做价格背书或信用担保.

1900/1/1 0:00:00
KEX:BKEX 关于上线 OP(Optimism)的公告

尊敬的用户:?????????????BKEX即将上线OP,详情如下:上线交易对:OP/USDT币种类型:OptimisticEthereum充值功能开放时间:已开放交易功能开放时间:2022年.

1900/1/1 0:00:00
OIN:加密交易所Rain Financial解雇数十名员工

6月2日消息,据知情人士透露,在最近加密货币价格下跌之际,中东加密交易所RainFinancialInc解雇数十名员工。知情人士表示,该公司本周向员工传达这一决定。裁员影响到一系列部门的员工.

1900/1/1 0:00:00