NFT 市場上出現新型態釣魚騙局,近期有許多用戶會接收到來路不明的 NFT 空投,這種 NFT 同時會在 OpenSea 上出現高報價。但一旦用戶接受報價,報價會被撤回,用戶接下來還會被引誘前往釣魚網站,進而恐損失自身 NFT 等資產。
(前情提要:OpenSea「NFT內容治理」困境:從 Okay Bears 最熱仿盤下架事件談起)
DeFi、NFT、MEV 開發者 foobar 今日在推特上警告,NFT 市場上出現新型態釣魚騙局,有許多用戶莫名接收到不知名 NFT 空投,並在 OpenSea 上已有不錯報價, 即使用戶接受報價,最終交易也將報錯無法成交,並在交易錯誤資訊處嘗試引導用戶前往釣魚網站授權,以盜取用戶 NFT 等資產。
https://twitter.com/0xfoobar/status/1531397484840374285
針對惡意攻擊者要如何進行詐騙,foobar 首先解釋了 OpenSea 的運作原理:
OpenSea 的工作方式是通過「批准」來轉移你的 NFT 或 WETH,批准指的是你直接在代幣合約上調用特殊智能合約功能,這代表的意思是「代幣合約,請允許這個市場的合約使用我的資金或 jpegs」。
這是危險的!但僅限於一個方向,如果市場方是惡意的,它可以竊取你的資金/jpeg,但是,如果資金/jpeg 是惡意的,他們「無法」竊取您的市場。
https://twitter.com/0xfoobar/status/1531397496634843136
有鑒於此,foobar 指出,用戶只能通過調用資金/jpegs 合約、而非通過調用外部合約,來授權外部合約使用用戶本身的資金/jpegs ,因此,他進一步解釋,當人們認為他們正在與外部合約互動、但實際上是在與他們的貨幣/jpegs 合約互動時,就會發生危險。
foobar 舉例表示, 一個網站可能會顯示「點擊這裡,為你的猿製作動畫」,但事實上,錢包交易上實際可能會是「將所有權限全部批准出去」,這就會讓用戶的畢生積蓄陷入危險之中。
小心新型態釣魚
foobar 指出,當前惡意攻擊者的手法是:
1) 當您批准 OpenSea 市場合約,以使用您的 NFT 並嘗試接受報價時,報價接受將撤回。報價錯誤消息會包含一個網址,如果您訪問該網站,它會試圖讓您簽署惡意交易。
2)NFT 是一個代理合約,可以通過不同的實施邏輯來交易。
這是一個從 260 個不同地址接收粉塵交易(dust)的地址,其中每個地址都創建了一個代理合約,以偽裝成一個獨特的收藏品系列。
https://twitter.com/0xfoobar/status/1531397512870895624
foobar 最後總結道,虛假 WETH 的報價將誘惑用戶批准 NFT 的銷售,但在用戶嘗試接受報價時,交易又會撤回,這會導致用戶浪費了 Gas 手續費,同時又在 Etherscan 被交易錯誤資訊處引誘進釣魚網站,提醒用戶應該注意安全。
與此同時,NFT 項目 Kaijus Reborn 創辦人 Hydraze 也發推提醒,惡意攻擊者會空投不明 NFT 給用戶,然後提供 1-2 個 ETH 的高報價,但用戶應小心 OpenSea 上的 WETH 報價,一旦用戶接受報價,錢包內的資金可能會被盜取。
📍相關報導📍
Opensea Discord遭駭!放Youtube合作假消息釣魚;法拉利子域被劫持推NFT騙局
OpenSea又出包!首頁推薦 PXN 系列連結是「仿盤NFT」,盜版交易量衝破3600ETH
記錄封城心聲|上海《四月之聲》遭微博封殺,民眾上傳大量 NFT 影片至 Opensea
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務