原文作者:NFT&MEV开发者0xfoobar
原文编译:DeFi之道
“我的钱包突然获得了一个未知NFT收藏品的空投,然后有人提供了1WETH的报价。这是怎么回事?接受它安全吗?”
长话短说,这些都是局,你无法通过交互获利。现在,让我们来了解一下这些局的原理!
OpenSea的工作方式是通过“授权”来转移你的NFT或WETH,而“授权”是你直接在代币合约上调用的特殊智能合约功能。它说:
“代币合约,请允许这个市场合约使用的我的资金或JPG。”
2023年Q1美国加密货币相关商标申请同比减少三分之二:金色财经报道,尽管就美国加密货币行业相关的商标申请而言,2022年是非常成功的一年,但2023年的开局要慢得多,因为这一数字比去年同期低了约三分之二。
根据Michael E. Kondoudis律师事务所的商标和专利律师Michael Kondoudis 4月5日分享的数据,2023年第一季度美国与加密货币相关的商标申请达559件,比2022年第一季度的1649件下降了66.1%。
在进一步分析美国专利商标局(USPTO)的数据后,如图表所示,2023年1月有196个新的加密商标申请,2月只有160个,而3月这些商标申请比前两个月略有改善,有203个申请。
值得注意的是,2022年是破纪录的一年,美国与加密货币相关的商标申请总数为5383件,而2021年为3570件,2020年仅为1137件,尽管形势动荡,但由于机构和个人兴趣的增加,加密货币行业继续增长。(Finbold)[2023/4/6 13:48:31]
这是危险的!但仅限于一个方向。如果市场是恶意的,那它就可以窃取你的资金和JPG。但是,如果资金/JPG是恶意的,那他们“就无法”窃取你的市场。
比特币投资公司NYDIG上月裁员约110人,占员工总数三分之一:10月14日消息,据华尔街日报援引消息人士报道,比特币投资公司NYDIG于9月22日通知受裁员影响的员工,裁员人数约为110人,大概占公司员工总数的三分之一。知情人士表示,员工被告知公司正在寻求削减开支,并将其重点缩小到更有前途的业务。
此前报道,10月3日,NYDIG发布公告表示,其首席执行官Robert Gutmann和总裁Yan Zhao将离职,但会留在NYDIG母公司Stone Ridge Holdings。Tejas Shah和Nate Conrad将分别担任新任首席执行官和总裁,二人此前分别担任该机构全球金融主管和全球支付主管。[2022/10/14 14:27:28]
设计不佳的市场可能会存在一个漏洞,允许一个已授权的集合窃取另一个已授权的集合。这就是为什么我们要只使用健壮的、经过良好测试的网站。
现场 | Marco Streng:三分之二算力集中于大型矿池 这是行业最大挑战:金色财经现场报道,2019年10月12日由MinerUpdate在成都举行的“2019全球矿业领袖峰会”上,Genesis mining创始人Marco Streng表示,三分之二的算力集中于大型矿池,算力分布并不完全去中心化,这是行业所面对的最大的一个挑战。非常开心地看到中国矿工也想要将他们的矿池移到中国之外的地区,这样会让比特币网络更加国际化,数据更加安全,同时我认为这也是一个趋势,因为实际上有非常多的地区的电费是非常低廉的,在中国之外也有很多适宜的地区可以来做发展的,不止是四川。[2019/10/12]
下面是利用opensea使用的旧Wyvern合约进行攻击的示例:
因此,你只能通过调用资金/JPG合约来批准使用资金/JPG的外部合约。
而不是通过调用一个外部合约。
这就是为什么理论上与恶意合约交互是“安全的”,前提是你的交易直接进入恶意合约,并且你没有将任何原始ETH发送到payable函数。
但请注意,不要自己尝试这种危险操作。
当然,当人们认为他们正在与外部合约交互,但实际上正在与他们的资金/JPG合约交互时,就会发生危险。
会有一个网站跳出来跟你说:“点击此处以激活你的猿猴”,但钱包交易说的实际是“SETAPPROVALFORALL”。
在醉酒/兴奋/昏昏欲睡/fomo等情绪组合的影响下,人们就会签名将他们的毕生积蓄拱手让给他人。
那么,如果黑客无法控制你的钱包或资产,这些虚假的NFT报价游戏的计划是什么呢?
恶意行为者使用了几种攻击计划:
当你批准opensea市场合约以使用你的NFT,然后尝试接受该报价时,报价接受将会恢复。错误消息会包含一个URL,如果你访问该网站,它会试图让你签署一笔恶意交易。
NFT是一种代理合约,它可以在之后替换为不同的实现逻辑。
以下是一个从260个不同地址接收dust粉尘交易的地址,其中每个地址都创建了一个代理合约,以伪装成一个唯一的集合。
这些不良行为者的命中率很低,因此为了gas优化,他们将使用具有重NFT代码逻辑的单个实现合约,并部署许多看似独立集合的轻量级代理。
这里有更多关于代理模式的内容。
一些人认为,最近的NFT代理部署者开发了秘密功能,如果你在代理上调用approve,那他就可以窃取你的所有NFT。
出于上述的原因,这似乎是完全错误的。
gas优化是最可能的代理使用假设。
OpenSea前端在它调用的集合功能方面相当封闭,因此大多数虚假的WETH报价,只是为了引诱你去一个钓鱼网站。
总结一下:
虚假WETH报价将允许你批准该NFT的销售,但在你尝试接受报价时,交易会恢复。这会导致你浪费了gas手续费,同时又在Etherscan上revert消息引诱你进入钓鱼网站。
请保护好自己的钱包安全!
头条 马斯克或将因狗狗币面临与Ripple类似的诉讼Crypto-Law创始人JohnDeaton发推警示马斯克,如果他频繁发推宣传狗狗币可能会给他带来和Ripple类似的法律麻烦.
1900/1/1 0:00:00??大家好,我是福尔摩斯,价值投资虽然不能保证我们稳步盈利,但价值投资给我们提供了走向真正成功的唯一机会。眼睛仅盯在自己小口袋的是小商人,眼光放在世界大市场的是大商人。同样是商人,眼光不同,境界不同,结果也就不同.
1900/1/1 0:00:00DearValuedUsers,CandyDropislaunchingPONDonJune1,2022.Registrationperiod:?POND:11:00(UTC)June1,2022–15:00(UTC)June3.
1900/1/1 0:00:00原文标题:《30TokenDesignandLaunchQuestions》原文作者:ClemensWan,Consensys 原文编译:饼干,链捕手 如果把加密货币比作web2世界中的网站.
1900/1/1 0:00:005月31日消息,Terra区块链上的DeFi应用MirrorProtocol再次遭受攻击,已有超过200万美元资金损失,比特币、以太坊和波卡的资金池已经枯竭,剩余的资金池与股票挂钩.
1900/1/1 0:00:00亲爱的用户: PEARCOIN已于2022年5月31日15:00正式开通HECO链HT和USDT资产的充提功能.
1900/1/1 0:00:00