Não, NFTs Airdropped não podem esvaziar sua carteira de Cripto

É temporada de golpes na terra dos NFTs, mas em meio às preocupações válidas sobre hacks e explorações, a desinformação está se espalhando rapidamente.

À medida que os tokens não fungíveis (NFTs) continuam a se tornar mais populares, a demografia dos usuários de muitas plataformas de Criptomoeda está mudando fundamentalmente à medida que uma nova população, talvez menos centrada em tecnologia, aprende como contratos inteligentes trabalhar.

A proliferação de usuários relativamente verdes e de dinheiro novo no mercado levou a um boom semelhante em golpes do Discord, tentativas de phishing e “tesouras de podar” – todos os vetores de ataque com os quais usuários de Cripto mais experientes podem estar familiarizados, mas que os colecionadores de NFT geralmente ouvem falar pela primeira vez.

A prevalência de ameaças reais também levou a um aumento na desinformação sobre o que é e o que T é um risco.

Leia Mais: Lições do assalto ao Nifty Gateway NFT: não são suas chaves, não é sua arte

Desinformação sobre NFT

Em um tuíte viral na segunda-feira, o colecionador de NFT “AJ” afirmou ter perdido uma coleção de NFT avaliada em mais de US$ 50.000 em um hack.

AJ escreveu que não havia inserido sua frase semente em lugar nenhum, não havia interagido com front ends falsos ou caído em táticas comuns de golpes, e que a única maneira de ter perdido sua coleção foi por meio de permissões maliciosas associadas a NFTs "lançados" para seu endereço, ou NFTs enviados para seu endereço gratuitamente. AJ T respondeu a um Request de comentário até o momento desta publicação.

O incidente gerou um boato de que aceitar lances em NFTs lançados por airdrop ou listá-los para venda, ambos os quais exigem aprovação de contrato, poderia levar ao esvaziamento das carteiras.

Em entrevistas com a CoinDesk, no entanto, dois desenvolvedores dizem que a descrição dos Eventos feita por AJ é altamente improvável, se não impossível, e que a segurança operacional padrão – como verificar duas vezes se os e-mails são das fontes corretas e usar uma carteira de hardware – é o melhor caminho a seguir.

Desaprovação de contrato

A chave para a teoria de AJ sobre como sua carteira foi esvaziada é um feito de magia de contrato inteligente que pode muito bem ser impossível.

“Muitos NFTs que você negociou no OpenSea têm a função 'setApprovalForAll' definida como 'true' para os contratos de negociação do OpenSea, a menos que você tenha se esforçado para liberar essa aprovação”, disse o desenvolvedor e analista de NFT Nate Alex ao CoinDesk no Twitter, acrescentando:

“É uma aprovação global para uma determinada coleção, então se você tem 100 NFTs da Art Block Factory e negocia um deles, os outros 99 ainda são aprovados para negociação e, portanto, exigem apenas que você assine uma mensagem para listar mais (não enviar uma [transação]).”

No entanto, tirar vantagem desse vetor de ataque ainda exigiria permissões especiais.

“Para aproveitar a aprovação aberta do OpenSea em todas as coleções, você precisaria ter acesso ao contrato do mercado deles por meio de controles de propriedade do referido contrato ou acesso para manipular o front-end deles para fazer com que os usuários assinem mensagens falsas”, acrescentou Alex.

De fato, detetives on-chain descobriram que o próprio endereço Ethereum de AJ aceitou um lance baixo por seu NFT Damien Hirst e, como o desenvolvedor pseudônimo do Solidity, Foobar, tuitou, não havia nenhum contrato elaborado responsável pela transferência de seus ativos; seu próprio endereço foi o instigador.

“LOOKS que ele provavelmente inseriu sua chave privada em um site de phishing ou tinha malware em seu computador”, disse Foobar ao CoinDesk.

Embora tenham existido conceitualmenteataques semelhantes no passado, com contratos de tokens fungíveis, como o RUNE, que dependiam de uma verificação da origem da transação em oposição à verificação do remetente da mensagem, Foobar disse que esse é um caso extremo que T deveria se aplicar aos NFTs.

Leia Mais: Token RUNE da Thorchain cai após 2ª exploração em 2 semanas

"Qualquer ERC-721s que verifica 'tx.origin' para aprovações pode ser vulnerável. Mas T que nunca vi nenhum desses,” Foobar adicionou.

Ambos os desenvolvedores alertaram os usuários para que tenham cuidado com e-mails de phishing e imploraram aos colecionadores que considerassem investir em carteiras de hardware.