复制成功

分享至

OKX > 快讯 >

此 MetaMask 以太坊钱包更新可能有助于阻止 NFT 诈骗

2022.07.29

NFT 领域的社交媒体骗局正在蓬勃发展,Twitter 和Discord 用户被骗将他们的加密钱包连接到恶意智能合约——结果导致他们的NFT和其他代币被盗。现在,顶级的以太钱包MetaMask已经更新了其界面,以尝试帮助用户识别和避免此类骗局。


MetaMask 本周向钱包发布了新的 10.18.0 更新,其中包括更改软件呈现请求的 setApprovalForAll 权限的方式。授予该权限允许智能合约(为 NFT 和去中心化应用程序提供动力的代码)访问和转移钱包中所有 NFT 和代币的能力。


更新之后,正如安全公司 Wallet Guard在 Twitter 上指出的那样,MetaMask 现在更清楚地表明,智能合约正在请求广泛的权限,包括访问钱包中持有的任何资金——该功能可用于所谓的“钱包抽水器” ” 漏洞利用。




发布到 MetaMask 的GitHub 软件开发存储库的屏幕截图显示了一个使用比界面其余部分更大的字体的新提示。示例文本为:“授予访问您所有 BAYC 的权限?” (或Bored Ape Yacht Club),附加警告内容,“通过授予权限,您允许以下帐户访问您的资金。”


MetaMask 软件工程师 Alex Donesky 于 6 月 22 日在 GitHub 上写道:“由于这种方法非常常用,因此迫切需要拿出一些东西。” 他还补充说,“时间线被压缩了”,并承认如果有更多时间来开发它,他不会采用这种方式来进行更改。


事实上,更新是在一系列主要通过被黑社交媒体帐户传播的骗局之后进行的。今年春天,许多Twitter 用户的经过验证的账户被劫持,并被用来分享受 Azuki 和Otherside等著名 NFT 项目启发的诈骗链接,并窃取无意中将钱包连接到智能合约的用户的 NFT 和代币。


最近,各种 NFT 项目和著名收藏家的 Twitter 帐户被黑客入侵以共享类似类型的链接,将其称为免费 NFT 或代币投放。此类骗局也通过被黑的 Discord 和 Instagram 帐户进行。它引发了关于创作者和项目是否应该补偿因此类骗局而损失资产的用户的争论。


本月早些时候,NFT drop 注册平台 Premint 受到其网站黑客攻击的影响,该网站使用 setApprovalForAll 函数从受影响的用户那里窃取了一系列有价值的 NFT 和代币。最终,该公司向用户偿还了价值超过 500,000 美元的 ETH,并回购并归还了一对昂贵的 NFT 收藏品。


Premint 创始人 Brenden Mulligan上周告诉Decrypt:“最流行的钱包的用户界面需要大幅改进,以使某人几乎不可能连接到钱包排水器。 ” “这是一个可以解决的问题,但很容易耗尽钱包,而且没有更多的警告来保护人们,这真是太疯狂了。”


需要明确的是,MetaMask 的更新并未对用户尝试连接的合约做出任何判断,也没有明确指出已识别的骗局。此外,对于某些 dapp,例如在 NFT 市场上,setApprovalForAll 函数有潜在的合法用途,这只会进一步混淆用户的决定。


不过,MetaMask 更新可以帮助最大限度地减少诈骗的影响。由于 FOMO 和围绕 NFT 的投机狂潮,一些因此类社交媒体骗局而堕落的 NFT 收集者被指控鲁莽地批准交易,而这一额外步骤可能会让用户暂停,并有机会重新考虑他们的行为。


我们将看看 MetaMask 是否会在未来的更新中进一步采用这一新功能,以及竞争的钱包是否会采用类似的技术。毕竟,诈骗不仅限于 MetaMask 用户,也不限于以太坊。Solana具有类似的功能(signAllTransactions),一位著名的 NFT 收藏家刚刚通过他的Phantom 钱包成为此类骗局的受害者




MonkeDAO 的化名联合创始人 Nom 昨晚在推特上发文称, 当他与他认为可以安全使用的智能合约进行交互时,他的钱包是如何在一次攻击中被耗尽的。Nom 写道,他损失了大约 500 SOL(约 20,200 美元)和 NFT,其中包括来自Solana Monkey Business的一个,攻击者随后以 197 SOL(7,736 美元)的价格出售。


免责声明:数字资产交易涉及重大风险,本资料不应作为投资决策依据,亦不应被解释为从事投资交易的建议。请确保充分了解所涉及的风险并谨慎投资。本站资讯仅提供信息参考,不构成任何投资建议,用户一切投资行为与本站无关。

相关推荐

industry-frontier