NFT:三分钟看懂NFT空投新局：通过虚假WETH报价盗取资产

作者：

时间：1900/1/1 0:00:00

原文作者：NFT&MEV开发者0xfoobar

原文编译：DeFi之道

“我的钱包突然获得了一个未知NFT收藏品的空投，然后有人提供了1WETH的报价。这是怎么回事？接受它安全吗？”

长话短说，这些都是局，你无法通过交互获利。现在，让我们来了解一下这些局的原理！

OpenSea的工作方式是通过“授权”来转移你的NFT或WETH，而“授权”是你直接在代币合约上调用的特殊智能合约功能。它说：

“代币合约，请允许这个市场合约使用的我的资金或JPG。”

数据：以太坊网络平均交易费较上月下降约三分之一至7.34美元:6月5日消息，由于meme狂潮和MEV Bot活动，以太坊网络的平均交易费在5月达到数月高点后，在6月的第一周大幅下降，已降至7.34美元，比上个月20美元的高点下降了近三分之一。就Gwei而言，根据Dune Analytics数据，Gas价格的每日中位数为1枚ETH的十亿分之一，已从上个月近140 gwei的峰值降至24 gwei。[2023/6/5 21:16:59]

这是危险的！但仅限于一个方向。如果市场是恶意的，那它就可以窃取你的资金和JPG。但是，如果资金/JPG是恶意的，那他们“就无法”窃取你的市场。

知情人士：Alameda曾在2018年XRP的交易中损失超过三分之二的资产:金色财经报道，在FTX倒闭之前，人们认为Alameda Research是业内顶级的量化交易公司和做市商之一。然而，这种看法在很大程度上可能只是表面现象，最近的一份报告详细说明Alameda早在 2018年就遭遇了财务困境。知情人士表示，2018年春季，Alameda因押注XRP而遭受重创，损失了Alameda超过三分之二的资产。知情人士解释说，因此SBF开始再次征集贷款，并承诺20%的回报率。《华尔街日报》看到的一份文件显示，SBF的律师解释了Alameda如何在向贷方进行的一次特定推销中成为顶级做市商，但律师没有透露任何财务信息。

此外，报告详细说明，当SBF创办Alameda时，这家贸易公司通过套利赚取了数百万美元。作为套利者，SBF声称机会来自日本和韩国等国家，因为比特币在这些地区交易溢价。由于在韩国存在所谓的“泡菜溢价”，SBF表示BTC有时会高出30%，在日本则高出10%。有大量报道强调Alameda通过加密货币套利赚取了数百万美元，但《华尔街日报》最近于 2022 年 12 月 31 日发表的一篇报道详细说明了Alameda的交易并不总是有利可图。[2023/1/3 22:21:17]

设计不佳的市场可能会存在一个漏洞，允许一个已授权的集合窃取另一个已授权的集合。这就是为什么我们要只使用健壮的、经过良好测试的网站。

媒体：萨尔瓦多2020年GDP不到比特币市值三分之一:金色财经报道，据半岛电视台消息，萨尔瓦多将比特币定为法币后仍需面临诸多问题，主要原因是萨尔瓦多是一个小国，其2019年的国内生产总值为269亿美元，而在2020年，因新冠危机产生的负面影响，该国的国内生产总值减少至246亿美元，只占到比特币市值的27%左右。另外还需要关注萨尔瓦多应对比特币价值波动的能力，许多公民可能并不喜欢使用比特币进行交易，尽管法律规定了接受该货币的义务，但是人们的利益会因此面临更多的风险。[2021/9/10 23:14:14]

下面是利用opensea使用的旧Wyvern合约进行攻击的示例：

因此，你只能通过调用资金/JPG合约来批准使用资金/JPG的外部合约。

而不是通过调用一个外部合约。

这就是为什么理论上与恶意合约交互是“安全的”，前提是你的交易直接进入恶意合约，并且你没有将任何原始ETH发送到payable函数。

但请注意，不要自己尝试这种危险操作。

当然，当人们认为他们正在与外部合约交互，但实际上正在与他们的资金/JPG合约交互时，就会发生危险。

会有一个网站跳出来跟你说：“点击此处以激活你的猿猴”，但钱包交易说的实际是“SETAPPROVALFORALL”。

在醉酒/兴奋/昏昏欲睡/fomo等情绪组合的影响下，人们就会签名将他们的毕生积蓄拱手让给他人。

那么，如果黑客无法控制你的钱包或资产，这些虚假的NFT报价游戏的计划是什么呢？

恶意行为者使用了几种攻击计划：

当你批准opensea市场合约以使用你的NFT，然后尝试接受该报价时，报价接受将会恢复。错误消息会包含一个URL，如果你访问该网站，它会试图让你签署一笔恶意交易。

NFT是一种代理合约，它可以在之后替换为不同的实现逻辑。