社交媒体诈骗在非金融交易领域蓬勃发展,推特和Discord用户被骗将其加密钱包连接到恶意智能合约,结果导致其非金融交易和其他代币被盗窃。现在,顶级以太坊钱包MetaMask已经更新了界面,试图帮助用户识别和避免此类欺诈。
MetaMask本周发布了一个新的10.18.0版本的钱包更新,其中包括对软件显示请求的setApprovalForAll权限的方式的更改。授予该权限后,智能合约可以获得授权NFT和去中心化应用程序的代码,从而能够访问和转移钱包中的所有NFT和令牌。
正如安全公司Wallet Guard在推特上指出的那样,更新后的MetaMask现在更清楚地表明,智能合约正在请求广泛的权限,包括访问钱包内持有的任何资金——这一功能可用于所谓的“钱包排水器”漏洞利用。
此更新包括当事务请求“为所有人设置审批”时急需强调的内容
感谢团队快速解决此问题pic.twitter.com/zWHVVPszzR
-钱包护卫(@Wallet\u Guard)2022年7月27日
发布到MetaMask的GitHub软件开发库的屏幕截图显示了一个新的提示,它使用了比界面其余部分更大的字体。示例文本为“授予访问所有BAYC的权限?”(或无聊的猿游艇俱乐部),并附加警告:“通过授予许可,您将允许以下帐户访问您的资金。”
MetaMask软件工程师Alex Donesky于6月22日在GitHub上写道,“由于这种方法非常常用,因此迫切需要做点什么。”他还补充说,“时间线被压缩了”,并承认如果有更多的时间来开发,他不会这样做。
事实上,这一更新是在一系列主要通过黑客社交媒体账户传播的欺诈之后发布的。今年春天,众多推特用户的验证账户被劫持,并被用于分享受Azuki和Otherside等著名NFT项目启发的欺诈链接,并窃取用户的NFT和代币,这些用户无意中将钱包连接到智能合约。
NFT黑客的受害者应该得到创作者的赔偿吗?
最近,各种NFT项目和著名收藏家的推特账户被黑客攻击,共享类似类型的链接,并将其作为免费NFT或令牌丢弃计费。此类诈骗也通过黑客入侵的Discord和Instagram账户发生。这引发了一场争论,即创作者和项目是否应该赔偿通过此类欺诈而损失资产的用户。
本月早些时候,NFT drop registration platform Premint的网站遭到黑客攻击,该黑客使用setApprovalForAll功能从受影响的用户那里窃取了一系列有价值的NFT和令牌。最终,该公司向用户报销了价值超过50万美元的以太币,并买回并返还了一对昂贵的NFT收藏品。
Premint创始人布伦登·穆利根(BrendenMulligan)上周告诉《解密》(Decrypt)““最流行的钱包的用户界面需要大幅改进,使人们几乎不可能连接到钱包排水器。”。“这是一个可以解决的问题,但它太疯狂了,很容易耗尽钱包,而且没有更多的警告来保护人们。”
需要明确的是,MetaMask的更新并没有对用户试图连接的合同做出任何判断,也没有明确指出已识别的欺诈行为。此外,某些分布式应用程序的setApprovalForAll函数可能有合法的用途,例如在NFT市场上,这只会进一步混淆用户的决策。
尽管如此,元掩码更新仍有助于将欺诈的影响降至最低。由于FOMO和围绕NFT的投机狂潮,一些沉迷于此类社交媒体欺诈的NFT收集者被指控鲁莽批准交易,这一额外步骤可能会让用户暂停,并有机会重新考虑他们的行为。
我们将看到MetaMask是否会在未来的更新中进一步利用这一新功能,以及竞争对手的钱包是否会采用类似的技术。毕竟,诈骗并不局限于MetaMask用户,也不局限于以太坊。Solana也有类似的功能(SignalTransactions),一位著名的NFT收藏家刚刚通过他的幻影钱包成为此类骗局的受害者。
营救一个迷路的蒙克:钱包被掏空并失去我的PFP的验尸报告
首先,这不是呼吁捐款。我有资金来弥补失去的东西,虽然我很感激你的爱,但你的钱会更好地用来帮助别人!
-N◎M(🥐,🍌)(@TheOnlyNom)2022年7月28日
野名MonkeDAO的化名联合创始人昨晚在推特上说,当他与一个他认为可以安全使用的智能合约互动时,他的钱包在一次攻击中被耗尽。Nom写道,他损失了约500 SOL(约20200美元)和NFT,其中包括一个来自Solana Monkey Business的NFT,然后攻击者将其以197 SOL(7736美元)的价格出售。