NFT เตือนภัยตกปลารูปแบบใหม่! ผู้ใช้ได้รับ airdrop ที่ไม่ทราบที่มา


กลโกงฟิชชิ่งรูปแบบใหม่ปรากฏขึ้นในตลาด NFT
กลโกงฟิชชิ่งรูปแบบใหม่ปรากฏขึ้นในตลาด NFT

foobar ผู้พัฒนา DeFi, NFT และ MEV เตือนบน Twitter วันนี้ว่ามีการหลอกลวงแบบฟิชชิ่งรูปแบบใหม่ในตลาด NFT ผู้ใช้จำนวนมากได้รับ NFT airdrops ที่ไม่รู้จักอย่างลึกลับและได้ทำข้อเสนอที่ดีบน OpenSea แล้ว แม้ว่าผู้ใช้จะยอมรับข้อเสนอ ธุรกรรมขั้นสุดท้ายจะรายงานข้อผิดพลาดและไม่สามารถดำเนินการให้เสร็จสิ้นได้ และพยายามแนะนำให้ผู้ใช้ไปที่เว็บไซต์ฟิชชิ่งเพื่อขออนุมัติที่ข้อความแสดงข้อผิดพลาดของธุรกรรม เพื่อขโมย NFT ของผู้ใช้และทรัพย์สินอื่นๆ

สำหรับผู้โจมตีที่ประสงค์ร้ายสามารถหลอกลวงได้อย่างไร foobar อธิบายวิธีการทำงานของ OpenSea ก่อน:


วิธีการทำงานของ OpenSea คือการโอน NFT หรือ WETH ของคุณผ่าน "การอนุมัติ" การอนุมัติหมายความว่าคุณเรียกใช้ฟังก์ชันสัญญาอัจฉริยะพิเศษบนสัญญาโทเค็นโดยตรง ซึ่งหมายความว่า "สัญญาโทเค็น โปรดอนุญาตสัญญาของตลาดนี้ ใช้เงินหรือ jpeg ของฉัน ".


มันอันตราย! แต่ในทิศทางเดียวเท่านั้น หากฝั่งตลาดเป็นอันตราย มันสามารถขโมยเงินทุน/jpeg ของคุณได้ แต่ถ้ากองทุน/jpeg เป็นอันตราย พวกเขา "ไม่สามารถ" ขโมยตลาดของคุณได้


เมื่อคำนึงถึงสิ่งนี้ foobar ชี้ให้เห็นว่าผู้ใช้สามารถอนุญาตสัญญาภายนอกเพื่อใช้ fund/jpeg ของผู้ใช้เองได้โดยการเรียก fund/jpegs สัญญา ไม่ใช่โดยการเรียกสัญญาภายนอก ดังนั้นเขาจึงอธิบายเพิ่มเติมว่าเมื่อผู้คนคิดว่าพวกเขาเป็น การพูดคุยกับสัญญาภายนอก อันตรายเกิดขึ้นเมื่อมีปฏิสัมพันธ์ แต่จริง ๆ แล้วมีปฏิสัมพันธ์กับสัญญาสกุลเงิน / jpegs


ตัวอย่างเช่น foobar กล่าวว่าเว็บไซต์อาจแสดง "คลิกที่นี่เพื่อทำให้ลิงของคุณเคลื่อนไหว" แต่ในความเป็นจริง ธุรกรรมกระเป๋าสตางค์อาจเป็น "อนุมัติการอนุญาตทั้งหมด" ซึ่งจะทำให้การช่วยชีวิตของผู้ใช้ตกอยู่ในอันตราย


ระวังการตกปลารูปแบบใหม่

foobar ชี้ให้เห็นว่ากลวิธีในปัจจุบันของผู้โจมตีที่ประสงค์ร้ายคือ:


1) เมื่อคุณอนุมัติสัญญาซื้อขาย OpenSea เพื่อใช้ NFT ของคุณและพยายามยอมรับข้อเสนอ การยอมรับข้อเสนอจะถูกยกเลิก ข้อความแสดงข้อผิดพลาดของข้อความแสดงข้อผิดพลาดมี URL ที่หากคุณเข้าชมไซต์ จะพยายามให้คุณลงนามในธุรกรรมที่เป็นอันตราย


2) NFT เป็นสัญญาพร็อกซี่ที่สามารถซื้อขายได้ผ่านตรรกะการใช้งานที่แตกต่างกัน

ที่อยู่นี้เป็นที่อยู่ที่ได้รับธุรกรรมเกี่ยวกับฝุ่น (ฝุ่น) จากที่อยู่ที่แตกต่างกัน 260 แห่ง ซึ่งแต่ละแห่งจะสร้างสัญญาตัวแทนเพื่อปลอมแปลงเป็นคอลเล็กชันของสะสมที่ไม่เหมือนใคร


ในที่สุด foobar ก็สรุปว่าข้อเสนอ WETH ปลอมจะล่อใจผู้ใช้ให้อนุมัติการขาย NFT แต่เมื่อผู้ใช้พยายามยอมรับข้อเสนอ ธุรกรรมจะถูกถอนออก ซึ่งจะทำให้ผู้ใช้เสียค่าธรรมเนียมน้ำมัน และในขณะเดียวกันก็ล่อ ผู้ใช้เข้าสู่ Etherscan ที่มีข้อมูลข้อผิดพลาดในการทำธุรกรรม เว็บไซต์ Phishing เตือนผู้ใช้ให้ใส่ใจกับความปลอดภัย


ในเวลาเดียวกัน Hydraze ผู้ก่อตั้งโครงการ NFT Kaijus Reborn ก็ทวีตเตือนว่าผู้โจมตีที่ประสงค์ร้ายจะออกอากาศ NFT ที่ไม่รู้จักให้กับผู้ใช้ จากนั้นให้ราคาสูง 1-2 ETH แต่ผู้ใช้ควรระมัดระวังเกี่ยวกับ WETH ราคาบน OpenSea เมื่อผู้ใช้ยอมรับ Quote เงินในกระเป๋าเงินอาจถูกขโมย

แท็ก:

Sponsored