Hindi, Hindi Matatanggal ng Mga Airdrop na NFT ang Iyong Crypto Wallet

Panahon ng scammer sa NFT-land, ngunit sa gitna ng wastong mga alalahanin tungkol sa mga hack at pagsasamantala, mabilis na kumakalat ang maling impormasyon.

Habang patuloy na nagiging mas sikat ang mga non-fungible token (NFT), ang demograpiko ng user para sa maraming platform ng Cryptocurrency ay panimula na nagbabago bilang isang bago, marahil ay hindi gaanong natututo ang populasyon ng tech-centric kung paano matalinong mga kontrata trabaho.

Ang paglaganap ng medyo berdeng mga gumagamit at bagong pera sa merkado ay humantong sa isang katulad na boom sa Discord scam, mga pagtatangka sa phishing at “clippers” – lahat ng attack vectors na maaaring pamilyar sa mas maraming karanasan na mga gumagamit ng Crypto ngunit madalas na naririnig ng mga NFT collector sa unang pagkakataon.

Ang paglaganap ng mga tunay na banta ay humantong din sa pag-usbong ng maling impormasyon tungkol sa kung ano ang panganib at T .

Read More: Mga Aral Mula sa Nifty Gateway NFT Heist: Not Your Keys, Not Your Art

Maling impormasyon ng NFT

Sa isang viral tweet noong Lunes, inangkin ng kolektor ng NFT na si "AJ" na nawala ang isang koleksyon ng NFT na nagkakahalaga ng higit sa $50,000 sa isang hack.

Isinulat ni AJ na hindi niya ipinasok ang kanyang seed phrase kahit saan, hindi siya nakipag-ugnayan sa mga pekeng front end o kung hindi man ay nahulog sa mga karaniwang taktika ng scam, at ang tanging paraan na maaari niyang mawala ang kanyang koleksyon ay mula sa mga malisyosong pahintulot na nauugnay sa mga NFT na "na-airdrop" sa kanyang address, o mga NFT na ipinadala sa kanyang address nang libre. T tumugon si AJ sa isang Request para sa komento sa oras ng press.

Ang insidente ay humantong sa isang bulung-bulungan na ang pagtanggap ng mga bid sa mga airdrop na NFT o paglilista ng mga ito para sa pagbebenta, na parehong nangangailangan ng pag-apruba ng kontrata, ay maaaring humantong sa mga wallet na mawalan ng laman.

Sa mga panayam sa CoinDesk, gayunpaman, sinabi ng isang pares ng mga developer na ang paglalarawan ni AJ sa mga Events ay malamang na hindi, kung hindi imposible, at ang karaniwang seguridad sa pagpapatakbo - tulad ng pag-double-check na ang mga email ay mula sa wastong mga mapagkukunan at paggamit ng isang hardware wallet - ay ang pinakamahusay na paraan pasulong.

Hindi pag-apruba sa kontrata

Ang susi sa teorya ni AJ kung paano naubos ang kanyang pitaka ay isang gawa ng matalinong-kontrata na wizardry na maaaring imposible.

“Maraming NFT na na-trade mo sa OpenSea ang may function na 'setApprovalForAll' na nakatakda sa 'true' para sa mga kontrata ng kalakalan ng OpenSea maliban kung ginawa mo na ang paraan upang i-clear ang pag-apruba na iyon," sinabi ng developer at analyst ng NFT na si Nate Alex sa CoinDesk sa Twitter, at idinagdag:

"Ito ay isang pandaigdigang pag-apruba para sa isang partikular na koleksyon, kaya kung mayroon kang 100 Art Block Factory NFT at ipagpalit ang ONE sa mga ito, ang iba pang 99 ay naaprubahan pa rin para sa kalakalan at sa gayon ay hinihiling lamang sa iyo na pumirma sa isang mensahe upang maglista ng higit pa (hindi magsumite ng [transaksyon])."

Gayunpaman, ang pagsasamantala sa naturang attack vector ay mangangailangan pa rin ng mga espesyal na pahintulot.

"Upang mapakinabangan ang bukas na pag-apruba ng OpenSea sa mga koleksyon ng lahat, kakailanganin mo ng access sa kanilang kontrata sa marketplace sa pamamagitan ng mga kontrol sa pagmamay-ari ng nasabing kontrata, o ng access upang manipulahin ang kanilang front end upang mahikayat ang mga user na pumirma ng mga pekeng mensahe," dagdag ni Alex.

Sa katunayan, natuklasan ng mga on-chain sleuth na ang sariling Ethereum address ni AJ ay tumanggap ng mababang bid para sa kanyang Damien Hirst NFT, at bilang nag-tweet ang pseudonymous Solidity developer na si Foobar, walang detalyadong kontrata na responsable para sa paglilipat ng kanyang mga hawak; ang kanyang sariling address ay ang pasimuno.

"LOOKS ipinasok niya ang kanyang pribadong key sa isang phishing site o may malware sa kanyang computer," sinabi ni Foobar sa CoinDesk.

Habang nagkaroon ng conceptually katulad na pag-atake sa nakaraan na may mga fungible na kontrata ng token, gaya ng RUNE, na umaasa sa isang tseke sa pinagmulan ng transaksyon kumpara sa isang tseke ng nagpadala ng mensahe, sinabi ni Foobar na ito ay isang edge case na T dapat nalalapat sa mga NFT.

Read More: Ang RUNE Token ng Thorchain ay Bumagsak Pagkatapos ng 2nd Exploit sa loob ng 2 Linggo

“Anumang ERC-721s na ang pagsuri sa 'tx.origin' para sa mga pag-apruba ay maaaring mahina. Pero parang T ko pa nakikita ang alinman sa mga iyon,” dagdag ni Foobar.

Parehong binalaan ng mga developer ang mga user na manatiling maingat sa mga phishing na email at humiling sa mga kolektor na isaalang-alang ang pamumuhunan sa mga wallet ng hardware.