「我的钱包突然获得了一个未知NFT收藏品的空投,然后有人提供了1WETH的报价。这是怎么回事?接受它安全吗?」
长话短说,这些都是局,你无法通过交互获利。现在,让我们来了解一下这些局的原理!
OpenSea?的工作方式是通过「授权」来转移你的NFT或WETH,而「授权」是你直接在Token合约上调用的特殊智能合约功能。它说:
MagmaByte将在Immutable zkEVM推出PvP游戏Galaxy Commanders:金色财经报道,游戏初创公司MagmaByte将在Immutable zkEVM推出PvP太空射击游戏Galaxy Commanders,MagmaByte的成员包括前艺电、NCSoft和Nexon开发人员。Galaxy Commanders将要求玩家使用各种不同的策略领导快节奏的太空战斗和合作征服星际。Immutable zkEVM是以太坊第2层扩展网络,专为游戏而构建,可实现更便宜、更快的交易。
Galaxy Commanders的发布日期尚未公布,但根据新闻稿,MagmaByte目前正在筹集由Shima Capital领投的一轮资金。[2023/7/19 11:03:24]
「
过去12小时全网爆仓2317.47万美元:金色财经报道,数据显示,过去12小时全网爆仓2317.47万美元,其中比特币爆仓677.59万美元,以太坊爆仓406.70万美元,PEPE爆仓223.28万美元。[2023/5/15 15:02:35]
Token
合约,请允许这个市场合约使用的我的资金或JPG。」
苹果从Mojave(10.14.0)到Ventura(13.3)版本中内置比特币白皮书PDF:金色财经报道,据一位海外博主透露,比特币白皮书PDF从Mojave(10.14.0)到目前的Ventura(13.3),每个版本的macOS都有这个文件,但High Sierra(10.13)或更早的版本中没有。
“一种方法是打开 Finder 并单击 Macintosh HD,然后打开 System→Library→Image Capture→Devices 文件夹。按住 Control 单击 VirtualScanner.app 和 Show Package Contents,打开其中的 Contents→Resources 文件夹,然后打开 simpledoc.pdf”。(waxy.org)[2023/4/6 13:47:12]
这是危险的!但仅限于一个方向。如果市场是恶意的,那它就可以窃取你的资金和JPG。但是,如果资金/JPG是恶意的,那他们「就无法」窃取你的市场。
元宇宙商务平台1verse拟进行5000万美元融资:7月28日消息,元宇宙商务平台1verse正在与多家全球投资机构接触拟融资5000万美元,其中包括总部位于约翰内斯堡的金融机构Rand Merchant Bank(RMB)。1verse希望将元宇宙和现实世界连接起来,并构建商务辅助技术平台,通过整合沉浸式虚拟世界和市场分销基础设施,打造更优质的购买方式和电商体验。(Businessworld)[2022/7/28 2:43:48]
设计不佳的市场可能会存在一个漏洞,允许一个已授权的集合窃取另一个已授权的集合。这就是为什么我们要只使用健壮的、经过良好测试的网站。
下面是利用opensea使用的旧Wyvern合约进行攻击的示例:
因此,你只能通过调用资金/JPG合约来批准使用资金/JPG的外部合约。
而不是通过调用一个外部合约。
这就是为什么理论上与恶意合约交互是「安全的」,前提是你的交易直接进入恶意合约,并且你没有将任何原始ETH发送到?payable?函数。
但请注意,不要自己尝试这种危险操作。
当然,当人们认为他们正在与外部合约交互,但实际上正在与他们的资金/JPG合约交互时,就会发生危险。
会有一个网站跳出来跟你说:「点击此处以激活你的猿猴」,但钱包交易说的实际是「SETAPPROVALFORALL」。
在醉酒/兴奋/昏昏欲睡/fomo等情绪组合的影响下,人们就会签名将他们的毕生积蓄拱手让给他人。
那么,如果黑客无法控制你的钱包或资产,这些虚假的NFT报价游戏的计划是什么呢?
恶意行为者使用了几种攻击计划:
-当你批准opensea市场合约以使用你的NFT,然后尝试接受该报价时,报价接受将会恢复。错误消息会包含一个URL,如果你访问该网站,它会试图让你签署一笔恶意交易。
-NFT是一种代理合约,它可以在之后替换为不同的实现逻辑。
以下是一个从260个不同地址接收dust粉尘交易的地址,其中每个地址都创建了一个代理合约,以伪装成一个唯一的集合。
这些不良行为者的命中率很低,因此为了gas优化,他们将使用具有重NFT代码逻辑的单个实现合约,并部署许多看似独立集合的轻量级代理。
这里有更多关于代理模式的内容。
一些人认为,最近的NFT代理部署者开发了秘密功能,如果你在代理上调用approve,那他就可以窃取你的所有NFT。
出于上述的原因,这似乎是完全错误的。
gas优化是最可能的代理使用假设。
OpenSea前端在它调用的集合功能方面相当封闭,因此大多数虚假的WETH报价,只是为了引诱你去一个钓鱼网站。
总结一下:
虚假WETH报价将允许你批准该NFT的销售,但在你尝试接受报价时,交易会恢复。这会导致你浪费了gas手续费,同时又在Etherscan上revert消息引诱你进入钓鱼网站。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。