「我的钱包突然获得了一个未知NFT收藏品的空投,然后有人提供了1WETH的报价。这是怎么回事?接受它安全吗?」
长话短说,这些都是局,你无法通过交互获利。现在,让我们来了解一下这些局的原理!
OpenSea?的工作方式是通过「授权」来转移你的NFT或WETH,而「授权」是你直接在Token合约上调用的特殊智能合约功能。它说:
贝莱德高管:了解交易对手是谁是让机构参与DeFi的关键:金色财经报道,贝莱德战略合作伙伴关系主管Joseph Chalom在Coinbase和《金融时报》举办的加密货币峰会上表示,开发数字身份基础设施,让交易对手知道自己在与谁进行交易,对于让大型机构参与DeFi至关重要。对于像全球最大的资产管理公司贝莱德这样的大型受监管机构参与者来说,识别交易对手可能很重要,但这可能与加密货币原生者的隐私精神相矛盾。[2023/6/23 21:55:41]
「
Token
合约,请允许这个市场合约使用的我的资金或JPG。」
调查:散户投资者比股票或债券更了解加密货币:金色财经报道,根据世界经济论坛(WEF)的一项调查,相比股票和债券,散户投资者更了解加密货币。约29%的人表示他们不了解加密货币,而40%的人表示不了解股票和债券的运作方式。调查还显示,代际差距越来越大,目前有70%的散户投资者年龄在45岁以下。(beincrypto)[2022/8/5 12:04:34]
这是危险的!但仅限于一个方向。如果市场是恶意的,那它就可以窃取你的资金和JPG。但是,如果资金/JPG是恶意的,那他们「就无法」窃取你的市场。
动态 | 关于Facebook新加密货币Libra需要了解10件最重要的事:据theblockcrypto消息,经过几个月的期待,Facebook 刚刚推出了称为Libra的加密货币,据theblockcrypto观点,将其白皮书重点总结为以下10个方面:1.“低波动性”加密货币;2.由非营利组织管理;3.计划过渡到无权限(的网络);4.伪匿名交易;5. Libra的储备;6. STO;7.运行节点的成本;8. FinCEN注册实体9.规定;10. 2020年启动。[2019/6/18]
设计不佳的市场可能会存在一个漏洞,允许一个已授权的集合窃取另一个已授权的集合。这就是为什么我们要只使用健壮的、经过良好测试的网站。
声音 | Diar创始人:加密领域不会推翻银行业,但让人们了解了真正的资产所有权:据Medium消息,加密货币周报出版机构Diar创始人Fadi Aboualfa近期接受采访时表示:“我们现在所处的是一个平行的金融体系。无论如何加密领域也不会推翻银行业。不过,它已经播下了一颗种子,让人们了解了真正的资产所有权,以及让人们更容易进入金融市场的精神,而不是我们今天在银行和经纪商身上看到的那种。所以现在不少传统企业推出了自己的区块链项目,比如高盛和JP摩根。一年前,Defi这个词还不存在,而现在它却是一个重点。明天,谁知道事情将如何发生,朝什么方向发展。这个领域将继续作为一个实验前进下去,直到它不再被认为是一个实验。”[2019/5/6]
下面是利用opensea使用的旧Wyvern合约进行攻击的示例:
因此,你只能通过调用资金/JPG合约来批准使用资金/JPG的外部合约。
而不是通过调用一个外部合约。
这就是为什么理论上与恶意合约交互是「安全的」,前提是你的交易直接进入恶意合约,并且你没有将任何原始ETH发送到?payable?函数。
但请注意,不要自己尝试这种危险操作。
当然,当人们认为他们正在与外部合约交互,但实际上正在与他们的资金/JPG合约交互时,就会发生危险。
会有一个网站跳出来跟你说:「点击此处以激活你的猿猴」,但钱包交易说的实际是「SETAPPROVALFORALL」。
在醉酒/兴奋/昏昏欲睡/fomo等情绪组合的影响下,人们就会签名将他们的毕生积蓄拱手让给他人。
那么,如果黑客无法控制你的钱包或资产,这些虚假的NFT报价游戏的计划是什么呢?
恶意行为者使用了几种攻击计划:
-当你批准opensea市场合约以使用你的NFT,然后尝试接受该报价时,报价接受将会恢复。错误消息会包含一个URL,如果你访问该网站,它会试图让你签署一笔恶意交易。
-NFT是一种代理合约,它可以在之后替换为不同的实现逻辑。
以下是一个从260个不同地址接收dust粉尘交易的地址,其中每个地址都创建了一个代理合约,以伪装成一个唯一的集合。
这些不良行为者的命中率很低,因此为了gas优化,他们将使用具有重NFT代码逻辑的单个实现合约,并部署许多看似独立集合的轻量级代理。
这里有更多关于代理模式的内容。
一些人认为,最近的NFT代理部署者开发了秘密功能,如果你在代理上调用approve,那他就可以窃取你的所有NFT。
出于上述的原因,这似乎是完全错误的。
gas优化是最可能的代理使用假设。
OpenSea前端在它调用的集合功能方面相当封闭,因此大多数虚假的WETH报价,只是为了引诱你去一个钓鱼网站。
总结一下:
虚假WETH报价将允许你批准该NFT的销售,但在你尝试接受报价时,交易会恢复。这会导致你浪费了gas手续费,同时又在Etherscan上revert消息引诱你进入钓鱼网站。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。