No, gli NFT lanciati tramite airdrop non possono svuotare il tuo portafoglio Cripto

È la stagione delle truffe nel mondo degli NFT, ma tra le preoccupazioni fondate su hack ed exploit, la disinformazione si sta diffondendo rapidamente.

Poiché i token non fungibili (NFT) continuano a diventare più popolari, la demografia degli utenti di molte piattaforme Criptovaluta sta cambiando radicalmente poiché una nuova popolazione, forse meno incentrata sulla tecnologia, sta imparando come contratti intelligenti lavoro.

La proliferazione di utenti relativamente inesperti e di nuovi soldi nel mercato ha portato a un boom simile di truffe Discord, tentativi di phishing e "tosatrici” – tutti vettori di attacco con cui gli utenti Cripto più esperti potrebbero avere familiarità ma di cui i collezionisti di NFT spesso sentono parlare per la prima volta.

La prevalenza di minacce reali ha portato anche a un boom di disinformazione su cosa sia e cosa T sia un rischio.

Continua a leggere: Lezioni dal furto NFT di Nifty Gateway: non le tue chiavi, non la tua arte

Disinformazione sugli NFT

In un tweet virale di lunedì, il collezionista di NFT "AJ" ha affermato di aver perso una collezione di NFT del valore di oltre $ 50.000 a causa di un hackeraggio.

AJ ha scritto di non aver inserito la sua frase seed da nessuna parte, di non aver interagito con falsi front-end o di non essere caduto in altre tattiche di truffa comuni e che l'unico modo in cui avrebbe potuto perdere la sua collezione era tramite permessi malevoli associati a NFT "airdroppati" al suo indirizzo o NFT inviati al suo indirizzo gratuitamente. AJ T ha risposto a una Request di commento al momento della stampa.

L'incidente ha fatto circolare la voce secondo cui accettare offerte per NFT lanciati tramite airdrop o metterli in vendita, entrambe operazioni che richiedono l'approvazione di un contratto, potrebbe portare allo svuotamento dei portafogli.

Tuttavia, in alcune interviste con CoinDesk, due sviluppatori affermano che la rappresentazione degli Eventi fatta da AJ è altamente improbabile, se non impossibile, e che la sicurezza operativa standard, come il controllo ripetuto che le e-mail provengano dalle fonti appropriate e l'utilizzo di un portafoglio hardware, è la soluzione migliore.

Disapprovazione del contratto

La chiave della teoria di AJ su come il suo portafoglio sia stato prosciugato è un'impresa di magia degli smart contract che potrebbe essere impossibile.

"Molti NFT che hai scambiato su OpenSea hanno la funzione 'setApprovalForAll' impostata su 'true' per i contratti di trading OpenSea a meno che tu non abbia fatto di tutto per ottenere tale approvazione", ha detto lo sviluppatore e analista NFT Nate Alex a CoinDesk su Twitter, aggiungendo:

"Si tratta di un'approvazione globale per una determinata collezione, quindi se hai 100 NFT di Art Block Factory e ne scambi ONE , gli altri 99 sono comunque approvati per lo scambio e quindi richiedono solo di firmare un messaggio per elencarne altri (non di inviare una [transazione])."

Tuttavia, per sfruttare un simile vettore di attacco sarebbero comunque necessari permessi speciali.

"Per sfruttare l'approvazione aperta di OpenSea in tutte le raccolte di tutti, avresti bisogno di accedere al loro contratto di mercato tramite controlli di proprietà di detto contratto, oppure di accedere per manipolare il loro front-end in modo che gli utenti firmino messaggi falsi", ha aggiunto Alex.

In effetti, gli investigatori on-chain hanno scoperto che l'indirizzo Ethereum di AJ aveva accettato un'offerta bassa per il suo NFT di Damien Hirst e, come ha twittato Foobar, sviluppatore di Solidity con pseudonimo, non esisteva alcun contratto elaborato responsabile del trasferimento dei suoi titoli; il suo stesso indirizzo era l'istigatore.

"LOOKS che abbia probabilmente inserito la sua chiave privata in un sito di phishing o che sul suo computer fosse presente un malware", ha detto Foobar a CoinDesk.

Sebbene ci siano stati concettualmenteattacchi simili in passato, con contratti di token fungibili, come RUNE, che si basavano su un controllo dell'origine della transazione anziché su un controllo del mittente del messaggio, Foobar ha affermato che si tratta di un caso limite che T dovrebbe essere applicato agli NFT.

Continua a leggere: Il token RUNE di Thorchain crolla dopo il secondo exploit in 2 settimane

"Qualunque ERC-721 che controllano 'tx.origin' per le approvazioni potrebbero essere vulnerabili. Ma T credo di averne mai visto nessuno", ha aggiunto Foobar.

Entrambi gli sviluppatori hanno messo in guardia gli utenti dalle e-mail di phishing e hanno implorato i collezionisti di valutare l'investimento in portafogli hardware.