W skrócie
- Portfel Ethereum MetaMask został zaktualizowany, aby użytkownicy byli bardziej świadomi tego, co podpisują, gdy wymagane jest pewne pozwolenie.
- Ta funkcja jest szeroko stosowana w oszustwach w mediach społecznościowych, w których użytkownicy stracili miliony dolarów na NFT i tokeny.
Oszustwa w mediach społecznościowych są boom w przestrzeni NFT, z Twitterem i Użytkownicy Discorda oszukani do podłączenia ich krypto portfele złośliwy inteligentne kontrakty— i posiadanie ich NFT i inne tokeny przeciągnięte w wyniku. Teraz top Ethereum portfel, MetaMask, zaktualizował swój interfejs, aby pomóc użytkownikom w rozpoznawaniu i unikaniu takich oszustw.
MetaMask wydała w tym tygodniu nową aktualizację portfela 10.18.0, która obejmuje zmianę sposobu, w jaki oprogramowanie przedstawia żądane uprawnienie setApprovalForAll. Nadanie tego pozwolenia pozwala na inteligentna umowa—kod, który zasila NFT oraz zdecentralizowane aplikacje—możliwość dostępu i przeniesienia wszystkich transakcji NFT oraz tokeny w portfelu.
Po aktualizacji, jako firma zajmująca się bezpieczeństwem Wallet Guard odnotowano na TwitterzeMetaMask wyjaśnia teraz wyraźniej, że inteligentna umowa wymaga szerokich uprawnień, w tym dostępu do wszelkich środków przechowywanych w portfelu — funkcji, która może być wykorzystana do tak zwanych exploitów „opróżniających portfel”.
.@Metamaska 10.18.0 jest niedostępny?
Ta aktualizacja zawiera bardzo potrzebny nacisk, gdy transakcja żąda „Ustaw zatwierdzenie dla wszystkich”
Uznanie dla zespołu za szybkie rozwiązanie tego problemu pic.twitter.com/zWHVVPszzR
— Strażnik portfela (@wallet_guard) 27 lipca 2022 r.
Zrzuty ekranu przesłane do MetaMask Repozytorium rozwoju oprogramowania GitHub pokaż nowy monit, który używa większej czcionki niż reszta interfejsu. Przykładowy tekst brzmi: „Dać pozwolenie na dostęp do wszystkich swoich BAYC?” (lub Klub jachtowy znudzonej małpy), z dodatkowym ostrzeżeniem: „Udzielając pozwolenia, zezwalasz następującemu kontu na dostęp do Twoich środków”.
Inżynier oprogramowania MetaMask, Alex Donesky, napisał na GitHub 22 czerwca, że „istnieje pilna potrzeba udostępnienia czegoś, ponieważ ta metoda jest tak powszechnie stosowana”. Dodał również, że „oś czasu jest skompresowana” i przyznał, że nie tak podszedłby do zmiany, gdyby było więcej czasu na jej opracowanie.
Rzeczywiście, aktualizacja następuje po serii oszustw, które rozprzestrzeniają się głównie za pośrednictwem zhakowanych kont w mediach społecznościowych. Wiosną zweryfikowano relacje wielu Użytkownicy Twittera zostali porwani i używane do udostępniania fałszywych linków inspirowanych znanymi projektami NFT, takimi jak Azuki i Druga stronai kradną NFT i tokeny użytkowników, którzy nieświadomie połączyli swoje portfele z inteligentnymi kontraktami.
Niedawno włamano się na konta na Twitterze różnych projektów NFT i znanych kolekcjonerów, aby udostępniać podobne typy linków, rozliczając je jako darmowe NFT lub upuszczenie tokena. Takie oszustwa miały również miejsce za pośrednictwem zhakowanych kont Discord i Instagram. Doprowadziło to do debaty na temat tego, czy twórcy i projekty powinien rekompensować użytkownikom którzy tracą aktywa w wyniku takich oszustw.
Na początku tego miesiąca platforma rejestracji zrzutów NFT Premint została naruszona przez włamanie na jej stronę internetową, która wykorzystywała funkcję setApprovalForAll do ukraść szereg cennych transakcji NFT i tokenów od dotkniętych użytkowników. Ostatecznie firma zwróciła użytkownikom pieniądze w wysokości ponad 500,000 XNUMX $ ETH, a także odkupił i zwrócił parę drogich przedmiotów kolekcjonerskich NFT.
„Interfejs użytkownika dla najpopularniejszych portfeli musi zostać radykalnie ulepszony, aby prawie niemożliwe było połączenie się z ociekaczem portfela” — założyciel firmy Premint, Brenden Mulligan. powiedział Odszyfruj zeszły tydzień. „Jest to problem, który można rozwiązać, ale to szalone, że tak łatwo jest opróżnić portfel i nie ma więcej ostrzeżeń, aby chronić ludzi”.
Aby było jasne, aktualizacja MetaMask nie dokonuje oceny umowy, z którą użytkownicy próbują się połączyć, i nie wskazuje wyraźnie zidentyfikowanych oszustw. Co więcej, istnieją potencjalnie uzasadnione zastosowania funkcji setApprovalForAll w przypadku niektórych aplikacji, takich jak sklepy NFT, co tylko jeszcze bardziej utrudnia decyzję użytkownika.
Mimo to aktualizacja MetaMask może pomóc zminimalizować wpływ oszustw. Niektórzy kolekcjonerzy NFT, którzy dali się nabrać na takie oszustwa w mediach społecznościowych, zostali oskarżeni o lekkomyślne zatwierdzanie transakcji z powodu FOMO i szaleństwa spekulacji wokół NFT, a ten dodatkowy krok może dać użytkownikom przerwę – i okazję do ponownego rozważenia swoich działań.
Zobaczymy, czy MetaMask rozwinie tę nową funkcję w przyszłych aktualizacjach, a także czy konkurencyjne portfele przyjmą podobne techniki. Oszustwa nie ograniczają się w końcu do użytkowników MetaMask, ani do Ethereum. Solana ma podobną funkcję (signAllTransactions), a znany kolekcjoner NFT właśnie padł ofiarą takiego oszustwa za pośrednictwem swojego Portfel fantomowy.
Ratowanie zagubionego mnicha: sekcja zwłok po wyczerpaniu portfela i utracie PFP
Po pierwsze ten wątek nie jest wezwaniem do datków. Mam fundusze na odzyskanie tego, co zostało utracone i chociaż doceniam miłość, twoje pieniądze lepiej służyłyby pomaganiu innym ludziom!
— N◎M (?,?) (@TheOnlyNom) 28 lipca 2022 r.
Pseudonim współzałożyciel MonkeDAO, Nom, zeszłej nocy podsumowałem o tym, jak jego portfel został wyczerpany podczas ataku, gdy wszedł w interakcję z inteligentnym kontraktem, który uważał za bezpieczny w użyciu. Nom napisał, że stracił około 500 SOL (około 20,200 XNUMX $) i NFT, w tym jeden z Solana Małpa Biznes, który napastnik wtedy sprzedany za 197 SOL ($ 7,736)
Bądź na bieżąco z wiadomościami o kryptowalutach, otrzymuj codzienne aktualizacje w swojej skrzynce odbiorczej.
Źródło: https://decrypt.co/106164/metamask-ethereum-wallet-update-help-thwart-nft-scams