a16z: Phân tích nguyên tắc và ngăn chặn thủ đoạn lừa dối NFT mới "Sleep Minting"
Nguồn gốc: Old Yuppie
Nguồn gốc: Old Yuppie"Sleep Minting"Là một nhà sưu tập NFT, bạn nên quan tâm đến nguồn gốc hợp đồng trên chuỗi. Nguồn gốc xác thực nhất của NFT được đúc trực tiếp từ ví của người tạo hoặc hợp đồng thông minh do người tạo sở hữu. Tuy nhiên, với một chút mánh khóe, người ta có thể sử dụng một phương pháp gọi là
công nghệ để thao túng nguồn của người tạo NFT.
Sleep Minting là nơi những kẻ lừa đảo đúc NFT trực tiếp vào ví của người sáng tạo nổi tiếng và khôi phục NFT từ ví của người sáng tạo.
Điều này tạo ra ảo tưởng rằng:
(2) NFT đã được gửi cho một kẻ lừa đảo;
dựa trên"dựa trên"xích
Với nguồn gốc xuất xứ, những kẻ lừa đảo có thể tuyên bố rằng họ sở hữu một NFT do một nhà sáng tạo nổi tiếng đúc và bán nó với giá cao hơn.
Làm thế nào để kỹ thuật này làm việc?
Đồng nghiệp a16z Crypto của tôi, Daren Matsuoka, đã viết một bài viết hay trên Twitter về nhật ký sự kiện và cách chúng hoạt động. Nhật ký sự kiện chuyển giao là một thông báo được gửi bởi hợp đồng thông minh ra thế giới bên ngoài, chứa thông tin chi tiết về việc chuyển giao NFT (NFT được chuyển giao từ ai, NFT được chuyển giao cho ai và ID TOKEN được chuyển giao). Nhật ký sự kiện chuyển cung cấp một cách hiệu quả để kiểm tra nguồn gốc của NFT.
tiêu đề phụ
Trò lừa đảo khai thác giấc ngủ"from "Sự đồng thuận chung là nếu bạn gửi một giao dịch để chuyển một NFT, thì địa chỉ của bạn sẽ được đưa vào sự kiện như"from "cánh đồng. Tuy nhiên, đây không phải là trường hợp khi một kẻ lừa đảo lấy một NFT đang ngủ từ một người sáng tạo nổi tiếng. Những kẻ lừa đảo có thể thêm địa chỉ của những người sáng tạo nổi tiếng một cách giả tạo
Sleep minting
cánh đồng."First 5000 Days "đây là sáng tạo trị giá hàng triệu đô la của beeple"Cần bán trên hiếm. Nhìn vào ảnh chụp màn hình, nó nói rõ ràng
Nhưng đó là một scam. Người tạo ra nó, Monsieur Personne, người cũng tự xưng là Banksy của NFTs, đã cố tình tạo ra tác phẩm có tên của con bọ, sử dụng một kỹ thuật gọi là đúc kết giấc ngủ. vậy anh ấy làm thế bằng cách nào?
kiến thức cơ bản
kiến thức cơ bản"Bob "NFT được tạo bằng hợp đồng thông minh ERC-721 và chúng giữ hồ sơ sở hữu NFT dưới dạng danh sách. Địa chỉ và số sê-ri của tác phẩm tạo thành một cặp. như thế này (tôi đặt"Booble")。
Alice: 1
Booble: 2
Malory: 3
thay bằng
Sau khi giao dịch, Alice có thể chuyển NFT của mình sang Booble theo các cách sau.
Chuyển 1: Alice ==> Booble
Alice:
Booble: 2, 1
Malory: 3
Danh sách hiện được cập nhật như sau:
Trong Ethereum, chúng tôi sử dụng tên địa chỉ để nhận dạng và chúng tôi cần ký chuyển khoản để ủy quyền cho chúng. Nhưng trong các ví dụ được cung cấp trong bài đăng này, tôi sẽ sử dụng các tên rõ ràng để đơn giản hóa các giải thích.
Giờ đây, các nhà phát triển thường triển khai các hợp đồng ERC-721 một cách hợp lý. Alice chỉ có thể chuyển nếu cô ấy sở hữu NFT và có thể cung cấp chữ ký hợp lệ.
Tiêu chuẩn ERC-721 chỉ đơn giản là một hợp đồng xã hội xác định giao diện cho phép các nền tảng nghệ thuật tương tác với nhau. Miễn là giao diện của hợp đồng khớp với giao diện của hợp đồng ERC-721, bất kỳ máy nào cũng sẽ coi nó là hợp lệ.
Tuy nhiên, như chúng ta có thể thấy bây giờ, điều này có thể dẫn đến các vấn đề bảo mật với nguồn gốc của NFT trên Ethereum, có thể bị giả mạo.
Như tôi đã nói, bất kỳ hợp đồng ERC-721 hợp lý nào cũng sẽ cho phép những người khai thác chỉ đúc tiền cho chính họ và chỉ chuyển các phân đoạn mà họ sở hữu.
Tuy nhiên, giả sử chúng tôi tùy chỉnh hợp đồng ERC-721 của mình để có thể chuyển sang các tài khoản khác. Giả sử chúng tôi điều chỉnh chức năng chuyển để tài khoản của chúng tôi cũng có thể chuyển NFT của người khác trong một số trường hợp nhất định. Sau đó, chúng ta có thể xây dựng một hợp đồng cho phép chúng ta ngủ yên.
mint 1: address(0) =>Ví dụ: Là kẻ tấn công Malory, chúng tôi đúc một tác phẩm có số sê-ri 1 cho Booble.
Booble (do Malory trình bày)
Alice:
Booble: 1
Malory:
Bây giờ ghép nối của chúng tôi trông như thế này:
Sau đó, vì Malory đã điều chỉnh hợp đồng để chuyển tác phẩm có số sê-ri 1 từ tài khoản của Booble sang bất kỳ tài khoản nào khác, cô ấy có thể rao bán nó trên nền tảng NFT như hiếm."Vì việc đúc của cô ấy từ địa chỉ (0) đến Booble là"Người sáng tạo--Booble
được hiển thị."Ethers"Khi Malory lừa thành công người mua, cô ấy sẽ nhận được
và bán tác phẩm giả cho người mua.
Chuyển khoản 1: Booble => Người mua (do Malory thực hiện).
Alice:
Booble:
Malory:
Buyer: 1
Bản ghi quyền sở hữu được cập nhật bây giờ trông như thế này.
Bằng cách này, Malory đã giả mạo thành công hồ sơ xuất xứ của NFT và bán tác phẩm của cô ấy với giá cao hơn giá trị của nó.
chi tiết:Kiểm tra kỹ thông tin của rarible và Etherscan,
Chúng ta sẽ thấy rằng đây là vấn đề về giao diện hơn là lỗ hổng bảo mật. Không ai có thể truy cập vào tài khoản của beeple.
Ngoài ra, khi xem kỹ các bản ghi giao dịch, bạn có thể phát hiện ra mánh khóe của những kẻ lừa đảo:
giao dịch tiền giả
Giao dịch chuyển tiền giả mạo"From "Đối với các giao dịch tiền đúc, chúng ta có thể thấy rằng Etherscan hiển thị hai
cánh đồng. Một là giao dịch được gửi bởi msg.sender và giao dịch còn lại là người gửi nêu rõ NFT.
Đối với trường người gửi của giao dịch, tức là msg.sender, không thể thao tác được vì trường này yêu cầu chữ ký hợp lệ của khóa riêng của người gửi. Tuy nhiên, việc ủy quyền trường "Mã thông báo đã chuyển" tùy thuộc vào các kẽ hở của hợp đồng thông minh, do đó, nó có thể bị thao túng.。
Nói một cách đơn giản, kẻ gian có thể tùy ý sửa đổi trường "Tokens Transfered"
Do đó, chúng tôi phải kiểm tra xem cả Từ và Mã thông báo đã chuyển có khớp với địa chỉ chính xác của tiếng bíp hay không. Nếu không, nó là giả."rugpull "Điều này tấn công nó với
