По мере роста популярности NFT увеличивается количество мошеннических схем
По мере того, как токены NFT продолжают становиться все более популярными, демография пользователей для многих криптовалютных платформ коренным образом меняется по мере того, как новое, возможно, менее техно-ориентированное население узнает, как работают смарт-контракты.
Распространение относительно зеленых пользователей и новых денег на рынке привело к аналогичному буму мошенничества Discord, попыток фишинга и «клипперов» - всех векторов атак, с которыми могут быть знакомы более опытные криптопользователи, но о которых коллекционеры NFT часто слышат впервые. Распространенность реальных угроз также привела к буму дезинформации о том, что является, а что нет риском.
В вирусном твиттере в понедельник коллекционер NFT «AJ» заявил, что потерял коллекцию NFT стоимостью более 50 000 долларов в результате взлома. Эй Джей написал, что он нигде не вводил свою начальную фразу, не взаимодействовал с поддельными интерфейсами или иным образом попался за распространенную тактику мошенничества, и что единственный способ потерять свою коллекцию - это вредоносные разрешения, связанные с NFT, «сброшенными» на его адрес, или NFT, отправленные на его адрес бесплатно.
Инцидент привел к слухам о том, что принятие заявок на сброшенные NFT или выставление их на продажу, оба из которых требуют одобрения контракта, может привести к опустошению кошельков. Однако пара разработчиков говорят, что изображение событий Эй Джей крайне маловероятно, если не невозможно, и что стандартная операционная безопасность - такая как двойная проверка того, что электронные письма получены из соответствующих источников и использование аппаратного кошелька - является лучшим способом продвижения вперед.
Ключом к теории Эй Джей о том, как его кошелек был истощен, является подвиг волшебства смарт-контрактов, который практически невозможен.
"Многие NFT, которыми вы торговали на OpenSea, имеют функцию setApprovalForAll, установленную на "true" для торговых контрактов OpenSea, если вы не сделали все усилия, чтобы очистить это одобрение", - сказал разработчик и аналитик NFT Нейт Алекс CoinDesk в Twitter, добавив:
"Это глобальное одобрение для данной коллекции, поэтому, если у вас есть 100 NFT Art Block Factory и вы торгуете одним из них, остальные 99 все еще одобрены для торговли и, таким образом, требуют только подписания сообщения, чтобы перечислить больше".
Однако использование такого вектора атаки все равно потребует специальных разрешений.
"Чтобы воспользоваться открытым одобрением OpenSea в коллекциях каждого, вам либо понадобится доступ к их контракту на рынке через контроль владения указанным контрактом, либо доступ для манипулирования их интерфейсом, чтобы заставить пользователей подписывать поддельные сообщения", - добавил Алекс.
Действительно, сыщики в цепочке обнаружили, что собственный адрес AJ Ethereum принял низкую ставку на его Дэмиена Херста NFT, и, как написал в Твиттере разработчик Solidity Фубар, не было сложного контракта, ответственного за передачу его активов.
"Похоже, он, вероятно, ввел свой закрытый ключ на фишинговый сайт или имел вредоносное ПО на своем компьютере", - сказал Фубар.
Хотя в прошлом имели место быть концептуально похожие атаки с использованием заменяемых контрактов токенов, таких как RUNE, который полагался на проверку происхождения транзакции, а не на проверку отправителя сообщения, Фубар сказал, что это крайний случай, который не должен применяться к NFT.
"Любые ERC-721, которые проверяют «tx.origin» на наличие одобрений, могут быть уязвимы. Но я не думаю, что когда-либо видел подобное", - добавил Фубар.
Оба разработчика предупредили пользователей о том, чтобы они остерегались фишинговых электронных писем, и попросили коллекционеров рассмотреть возможность инвестирования в аппаратные кошельки.