Нет, сброшенные NFT не могут опустошить ваш Криптo

В мире NFT наступил сезон мошенничества, но на фоне обоснованных опасений по поводу взломов и эксплойтов дезинформация распространяется быстро.

Поскольку невзаимозаменяемые токены (NFT) продолжают становиться все более популярными, демографические характеристики пользователей многих Криптовалюта платформ кардинально меняются, поскольку новое, возможно, менее ориентированное на технологии население узнает, как смарт-контракты работа.

Распространение относительно «зеленых» пользователей и новых денег на рынке привело к аналогичному буму мошенничества в Discord, попыток фишинга и «машинки для стрижки» — все это векторы атак, с которыми более опытные пользователи Криптo , возможно, знакомы, но о которых сборщики NFT часто слышат впервые.

Распространенность реальных угроз также привела к всплеску дезинформации о том, что является риском, а что T .

Читать дальше: Уроки ограбления NFT Nifty Gateway: не ваши ключи, не ваше искусство

Дезинформация о NFT

В понедельник в вирусном твите коллекционер NFT «AJ» заявил, что в результате взлома потерял коллекцию NFT стоимостью более 50 000 долларов.

AJ написал, что он нигде не вводил свою сид-фразу, не взаимодействовал с поддельными интерфейсами и не попадался на обычные мошеннические уловки, и что единственный способ, которым он мог потерять свою коллекцию, — это вредоносные разрешения, связанные с NFT, «сброшенными» на его адрес, или NFT, отправленными на его адрес бесплатно. AJ T ответил на Request о комментарии к моменту публикации.

Инцидент привел к появлению слухов о том, что принятие заявок на разбрасываемые NFT или выставление их на продажу (и то, и другое требует одобрения контракта) может привести к опустошению кошельков.

Однако в интервью CoinDesk двое разработчиков заявили, что описание Мероприятия AJ крайне маловероятно, если не невозможно, и что стандартные меры операционной безопасности, такие как двойная проверка того, что электронные письма получены из надлежащих источников, и использование аппаратного кошелька, являются наилучшим выходом из положения.

Неодобрение контракта

Ключ к теории AJ о том, как был опустошен его кошелек, — это волшебство смарт-контрактов, которое вполне может оказаться невозможным.

«Многие NFT, которыми вы торговали на OpenSea, имеют функцию setApprovalForAll, установленную на true для торговых контрактов OpenSea, если только вы не приложили все усилия, чтобы получить такое одобрение», — рассказал разработчик и аналитик NFT Нейт Алекс CoinDesk в Twitter, добавив:

«Это глобальное одобрение для данной коллекции, поэтому, если у вас есть 100 NFT-товаров Art Block Factory и вы обмениваете ONE из них, остальные 99 по-прежнему одобрены для обмена, и, таким образом, вам нужно будет только подписать сообщение, чтобы выставить больше (а не отправлять [транзакцию])».

Однако для использования такого вектора атаки все равно потребуются специальные разрешения.

«Чтобы воспользоваться открытым одобрением OpenSea для всех коллекций, вам понадобится либо доступ к их контракту на торговой площадке через контроль владения указанным контрактом, либо доступ для манипулирования их интерфейсом, чтобы заставить пользователей подписывать поддельные сообщения», — добавил Алекс.

Действительно, сыщики, работающие в сети, обнаружили, что собственный адрес AJ на Ethereum принял низкую ставку за его NFT Дэмиена Херста, и, как написал в Twitter разработчик Solidity под псевдонимом Foobar, не было никакого сложного контракта, ответственного за передачу его активов; зачинщиком был его собственный адрес.

«LOOKS , он, вероятно, ввел свой закрытый ключ на фишинговый сайт или на его компьютере было вредоносное ПО», — сказал Foobar CoinDesk.

Хотя концептуально былиподобные атаки В прошлом, когда речь шла о контрактах на взаимозаменяемые токены, таких как RUNE, которые полагались на проверку источника транзакции, а не на проверку отправителя сообщения, Foobar заявил, что это пограничный случай, который T должен применяться к NFT.

Читать дальше: Токен RUNE от Thorchain падает после второго взлома за 2 недели

"Любой ERC-721 что проверка 'tx.origin' для одобрений может быть уязвимой. Но я T думаю, что я когда-либо видел что-либо из этого», — добавил Foobar.

Оба разработчика предупредили пользователей о необходимости остерегаться фишинговых писем и призвали коллекторов рассмотреть возможность инвестирования в аппаратные кошельки.