รวบรวมข้อความต้นฉบับ: The Way of DeFi0xfoobar

รวบรวมข้อความต้นฉบับ: The Way of DeFi

"จู่ๆ กระเป๋าเงินของฉันก็ได้รับของสะสม NFT ที่ไม่รู้จักจากอากาศ จากนั้นมีคนยื่นข้อเสนอให้ 1 WETH เกิดอะไรขึ้น ยอมรับได้อย่างปลอดภัยหรือไม่"

สรุปสั้นๆ สิ่งเหล่านี้เป็นการหลอกลวงและคุณไม่สามารถทำกำไรจากการโต้ตอบได้ ตอนนี้เรามาทำความเข้าใจว่ากลโกงเหล่านี้ทำงานอย่างไร!

วิธีการทำงานของ OpenSea คือการโอน NFT หรือ WETH ของคุณผ่าน "การอนุญาต" ซึ่งเป็นฟังก์ชันสัญญาอัจฉริยะพิเศษที่คุณเรียกโดยตรงจากสัญญาโทเค็น มันบอกว่า:

"สัญญาโทเค็น โปรดอนุญาตให้เงินของฉันหรือ JPG ถูกใช้โดยสัญญาการตลาดนี้"

มันอันตราย! แต่ในทิศทางเดียวเท่านั้น หากตลาดเป็นอันตราย ตลาดสามารถขโมยเงินและ JPG ของคุณได้ อย่างไรก็ตาม หากกองทุน/JPG เป็นอันตราย พวกเขา "ไม่สามารถ" ขโมยตลาดของคุณได้

ตลาดที่ออกแบบมาไม่ดีอาจมีช่องโหว่ที่ทำให้ชุดที่ได้รับอนุญาตหนึ่งชุดสามารถขโมยชุดที่ได้รับอนุญาตอีกชุดหนึ่งได้ นั่นเป็นเหตุผลที่เราใช้เฉพาะไซต์ที่มีประสิทธิภาพและผ่านการทดสอบมาอย่างดีเท่านั้น

นี่คือตัวอย่างการโจมตีโดยใช้สัญญา Wyvern แบบเก่าที่ opensea ใช้:

ดังนั้น คุณสามารถอนุมัติสัญญาภายนอกที่ใช้เงิน/JPG ได้โดยการเรียกเงิน/สัญญา JPG

มากกว่าโดยการเรียกสัญญาภายนอก

นี่คือเหตุผลว่าทำไมในทางทฤษฎีแล้ว การโต้ตอบกับสัญญาที่เป็นอันตรายจึง "ปลอดภัย" หากธุรกรรมของคุณส่งตรงไปยังสัญญาที่เป็นอันตราย และคุณไม่ได้ส่ง ETH ดิบใดๆ ไปยังฟังก์ชันที่ต้องชำระ

แต่ระวังอย่าพยายามดำเนินการที่เป็นอันตรายนี้ด้วยตัวคุณเอง

แน่นอน อันตรายเกิดขึ้นเมื่อผู้คนคิดว่าพวกเขากำลังโต้ตอบกับสัญญาภายนอก แต่จริงๆ แล้วกำลังโต้ตอบกับสัญญาเงิน/JPG ของพวกเขา

เว็บไซต์จะปรากฏขึ้นและพูดว่า "คลิกที่นี่เพื่อเปิดใช้งาน ape ของคุณ" แต่ธุรกรรมกระเป๋าเงินจริง ๆ แล้วระบุว่า "ตั้งค่าการอนุมัติสำหรับทั้งหมด"

ภายใต้อิทธิพลของการผสมผสานระหว่างเมา / สูง / ง่วงนอน / fomo ผู้คนลงทะเบียนเพื่อให้เงินออมชีวิตแก่ผู้อื่น

ดังนั้นแผนสำหรับเกม NFT ปลอมเหล่านี้จะเป็นอย่างไรหากแฮ็กเกอร์ไม่สามารถควบคุมกระเป๋าเงินหรือทรัพย์สินของคุณได้

ผู้ประสงค์ร้ายใช้แผนการโจมตีหลายรูปแบบ:

• การยอมรับข้อเสนอจะกลับมาทำงานอีกครั้งเมื่อคุณอนุมัติสัญญาตลาด opensea เพื่อใช้ NFT ของคุณ จากนั้นจึงพยายามยอมรับข้อเสนอนั้น ข้อความแสดงข้อผิดพลาดจะมี URL ที่หากคุณเยี่ยมชมเว็บไซต์ จะพยายามให้คุณลงชื่อเข้าใช้ธุรกรรมที่เป็นอันตราย

• NFT เป็นสัญญาพร็อกซีประเภทหนึ่ง ซึ่งสามารถแทนที่ได้ด้วยตรรกะการใช้งานที่แตกต่างกันในภายหลัง

ด้านล่างนี้คือที่อยู่ที่รับธุรกรรมฝุ่นจากที่อยู่ที่แตกต่างกัน 260 แห่ง ซึ่งแต่ละแห่งสร้างสัญญาพร็อกซีเพื่อปลอมแปลงเป็นคอลเล็กชันที่ไม่เหมือนใคร

ที่นี่

ที่นี่มีเพิ่มเติมเกี่ยวกับรูปแบบ Proxy

บางคนเชื่อว่าผู้ปรับใช้พร็อกซี NFT ล่าสุดได้พัฒนาฟังก์ชันลับที่ช่วยให้พวกเขาสามารถขโมย NFT ทั้งหมดของคุณได้หากคุณเรียกใช้พร็อกซีเพื่ออนุมัติ

ด้วยเหตุผลดังที่ได้กล่าวมานี้ดูเหมือนว่าจะผิดไปเสียหมด

การปรับแก๊สให้เหมาะสมเป็นสมมติฐานการใช้พร็อกซีที่เป็นไปได้มากที่สุด

สรุปแล้ว:

สรุปแล้ว:

ข้อเสนอ WETH ปลอมจะอนุญาตให้คุณอนุมัติการขาย NFT นั้น แต่เมื่อคุณพยายามยอมรับข้อเสนอ ธุรกรรมจะกลับมาทำงานต่อ ซึ่งจะทำให้คุณเสียเงินค่าน้ำมัน และในขณะเดียวกันก็เปลี่ยนข้อความบน Etherscan เพื่อล่อให้คุณไปที่เว็บไซต์ฟิชชิ่ง

ลิงค์ต้นฉบับ

ลิงค์ต้นฉบับ