揭秘NFT空投新局 警惕虚假Offer盗取你的资产

「我的钱包突然获得了一个未知NFT收藏品的空投，然后有人提供了1WETH的报价。这是怎么回事？接受它安全吗？」

长话短说，这些都是局，你无法通过交互获利。现在，让我们来了解一下这些局的原理！

OpenSea?的工作方式是通过「授权」来转移你的NFT或WETH，而「授权」是你直接在Token合约上调用的特殊智能合约功能。它说：

借贷协议Hover与Pyth Network建立合作，为其借贷市场提供预言机支持:据官方消息，Kava原生借贷协议Hover宣布与Pyth Network建立合作伙伴关系，Hover将在其流动性市场使用Pyth提供链上预言机定价。

Hover核心贡献者Aileen Dauz表示，“对于Hover来说，获得可靠的数据源对于管理稳定的市场至关重要。Pyth团队提供的实时、按需市场数据来自可信的来源，使他们成为我们首选的Oracle解决方案。我们对此次合作以及它为Hover和整个Kava生态系统带来的影响感到非常兴奋。”Pyth的贡献者之一Marc Tillement表示，“Pyth已准备好全力支持Hover，为其提供250多种不同的价格喂价。”[2023/7/20 11:06:46]

「

标普已将对Coinbase的股票评级从BB下调至BB-:金色财经报道，评级机构标准普尔已下调对Coinbase的长期信用评级和高级无担保债务评级，从BB（表明不利的商业、金融和经济状况存在重大不确定性）下调至BB-（距离投资级又低了一步），且这两种评级都被认为是垃圾债券，理由是交易量下降和监管风险导致盈利能力疲软。此前报道，Coinbase公布重组计划，表示将裁员950人，预计重组总费用为1.49亿至1.63亿美元。（CoinDesk）[2023/1/12 11:07:38]

Token

合约，请允许这个市场合约使用的我的资金或JPG。」

知情人士：Meta准备在本周开始大规模裁员:金色财经报道，据知情人士透露，Meta计划本周开始大规模裁员，这可能是最近一系列科技企业裁员中规模最大的一轮裁员。知情人士称，裁员预计将影响数千名员工，并计划最快在周三发布公告。知情人士说，公司已经告诉员工从本周开始取消不必要的旅行。Meta报告称，截至9月底，员工人数超过87,000名。[2022/11/7 12:23:51]

这是危险的！但仅限于一个方向。如果市场是恶意的，那它就可以窃取你的资金和JPG。但是，如果资金/JPG是恶意的，那他们「就无法」窃取你的市场。

设计不佳的市场可能会存在一个漏洞，允许一个已授权的集合窃取另一个已授权的集合。这就是为什么我们要只使用健壮的、经过良好测试的网站。

数据：今年前3个月的NFT相关商标申请数已超去年全年:4月24日消息，据美国律师Mike Kondoudis的推文，新的NFT和与NFT相关的商标申请数量持续增加。今年前三个月，新的NFT相关商标申数数量为2341件，而2021年全年提交了1982份申请。[2022/4/24 14:45:37]

下面是利用opensea使用的旧Wyvern合约进行攻击的示例：

因此，你只能通过调用资金/JPG合约来批准使用资金/JPG的外部合约。

而不是通过调用一个外部合约。

这就是为什么理论上与恶意合约交互是「安全的」，前提是你的交易直接进入恶意合约，并且你没有将任何原始ETH发送到?payable?函数。

但请注意，不要自己尝试这种危险操作。

当然，当人们认为他们正在与外部合约交互，但实际上正在与他们的资金/JPG合约交互时，就会发生危险。

会有一个网站跳出来跟你说：「点击此处以激活你的猿猴」，但钱包交易说的实际是「SETAPPROVALFORALL」。

在醉酒/兴奋/昏昏欲睡/fomo等情绪组合的影响下，人们就会签名将他们的毕生积蓄拱手让给他人。

那么，如果黑客无法控制你的钱包或资产，这些虚假的NFT报价游戏的计划是什么呢？

恶意行为者使用了几种攻击计划：

-当你批准opensea市场合约以使用你的NFT，然后尝试接受该报价时，报价接受将会恢复。错误消息会包含一个URL，如果你访问该网站，它会试图让你签署一笔恶意交易。

-NFT是一种代理合约，它可以在之后替换为不同的实现逻辑。

以下是一个从260个不同地址接收dust粉尘交易的地址，其中每个地址都创建了一个代理合约，以伪装成一个唯一的集合。

这些不良行为者的命中率很低，因此为了gas优化，他们将使用具有重NFT代码逻辑的单个实现合约，并部署许多看似独立集合的轻量级代理。

这里有更多关于代理模式的内容。

一些人认为，最近的NFT代理部署者开发了秘密功能，如果你在代理上调用approve，那他就可以窃取你的所有NFT。

出于上述的原因，这似乎是完全错误的。

gas优化是最可能的代理使用假设。

OpenSea前端在它调用的集合功能方面相当封闭，因此大多数虚假的WETH报价，只是为了引诱你去一个钓鱼网站。

总结一下：

虚假WETH报价将允许你批准该NFT的销售，但在你尝试接受报价时，交易会恢复。这会导致你浪费了gas手续费，同时又在Etherscan上revert消息引诱你进入钓鱼网站。

来源：金色财经

标签：NFTVERYTHETHANFTZ Versus ProjectZYTHGreenETH

TUSD热门资讯