NFT:以太坊巨鲸遭遇社会工程局，1.3亿美元ETH险些被盗

作者：隔夜的粥/DeFi之道

以太坊巨鲸thomasg.eth因其钱包存放了价值超过1.3亿美元的ETH，而遭遇了一场精心策划的社会工程局，者伪装成社区贡献者，并通过免费赠送NFT的方式，企图取thomasg.eth的钱包授权盗取ETH，幸运的是，谨慎的thomasg.eth躲过了这场危机。

以下是thomasg.eth讲述的事件经过：

在过去的两周里，我成为了一个极其彻底的社会工程局的目标，这让我几乎丢失了所有的ETH。非常幸运的是，我毫发无损地度过了这次难关，下面就是整个故事的来龙去脉。

首先简单介绍一下背景，我是Arrow的创始人，这是一个致力于构建开源VTOL飞机和空中出租车协议的DAO。两周前，一个名为“heckshine”的用户加入了项目Discord并介绍了自己，他称自己目前在Ubisoft工作，并愿意提供3D设计和动画方面的帮助。他发的消息似乎有点奇怪，但我只是将其归因于语言障碍。

报告：Polygon生态系统正越来越独立于以太坊:金色财经报道，区块链开发平台Alchemy周三发布的一份新报告显示，Polygon生态系统正在迅速扩展，并且越来越独立于以太坊。根据该报告，该链上现在有3,000个应用程序，而去年仅为30个。此外，Alchemy在Polygon链上进行建立的团队数量环比增加了145%。根据报告，在部署到Polygon的新应用程序中，只有38%是在Polygon和以太坊上构建的，而62%仅部署在Polygon上。[2021/10/21 20:45:02]

Heckshine还有一位对VTOL充满热情的朋友，此人正在开展一个元宇宙项目，还称自己的姐夫是波音公司的副总裁，这关系有点不一般！

在接下来的几天里，heckshine开始为Arrow制作各种动画项目，他为我们的网站设计了一个非常简洁的英雄形象版本，并开始制作一些飞机效果图。他对项目的奉献精神，给我们留下了深刻的印象。

当前以太坊未确认交易数为186547笔:Etherscan.io数据显示，以太坊未确认交易数186547笔。当前挖矿难度6300.83 TH，平均Gas费为114 Gwei。[2021/4/5 19:45:59]

在此期间，heckshine也联系了他的朋友Linh，显然她对此很感兴趣，heckshine让我给她发一封电子邮件。从heckshine告诉我的情况来看，Linh似乎有很不错的人脉。

Linh给我回了一封非常周到的电子邮件，她告诉了我关于她自己的元宇宙项目SpaceFalcon。我不是很喜欢这个项目，但我不是一个真正的NFT专业人士，所以我也没有任何理由认为这是一个坏主意。

她还告诉了我更多关于她和波音公司以及Wisk航空公司的联系，并提供了一些关于Arrow的想法。她似乎渴望帮助我们建立潜在的合作伙伴关系。沟通的电子邮件语气有点奇怪，但我还是认为，这是因为语言障碍的问题。

火币研究院马天元：应率先使用以太坊1.0加上layer2以解决以太坊燃眉之急:金色财经年度巨献洞见财富密码2021投资策略会持续进行中，火币研究院首席研究员马天元《ETH2.0的起源，现在和未来》的精华看点如下：以太坊2.0本质上是一条新的另起炉灶式的区块链，用上了如今行业内最新的理论基础和技术框架。所以，以太坊2.0将会在保持比较不错的安全性和去中心化的前提下，将以太坊1.0的性能提升近百倍。但是，它仍然需要一定的开发时间，可能是两到三年才能投入实战。因此，在以太坊2.0成熟之前，可能我们率先要使用以太坊1.0加上以Rollup为代表的layer2技术，用“近水解近渴”，解决当前以太坊链上拥堵昂贵的燃眉之急。[2020/12/31 16:06:58]

Linh和我将话题转到了Discord，我们更多地谈论了自己的背景，并最终决定请她当我们的顾问，她主动提供指导和建议，帮助我们解决合作关系方面的问题，我为她的支持感到兴奋。

Forsage回应V神称：大规模项目才带来以太坊繁荣:8月11日消息，Forsage反驳V神称：“你为自己洗白！项目大规模出现，才带来以太坊繁荣。以太坊曾在2017年大规模上涨很大一部分是因为各种“项目”，包括盘子项目。就是项目们为以太坊带来了流量，交易手续费：人们才会知道以太坊，并用以太坊，并消耗以太坊。比特币也一样，没有各种项目和盘子，它在2017年何来的大涨？”据金色财经此前报道，V神警告庞氏局Forsage不要污染以太坊生态。

据了解，今年7月，菲律宾证券交易委员会（SEC）称，Forsage缺乏运营所需的许可证。因此，不允许他们从公众那里进行投资或发行投资合同和其他形式的证券。[2020/8/11]

然后，她告诉了我更多关于SpaceFalcon项目的信息，这似乎有点像一个快速致富的计划，但同样的，这就是我看到的很多NFT项目采用的方式。鉴于她为Arrow做的一切，表现出一点支持并没有什么坏处。

动态 | DeFi Saver 清算保护系统因以太坊网络拥堵导致清算大量 ETH 抵押品:由于 ETH 价格暴跌、以太坊网络拥堵和 Gas 费飙升，导致 MakerDAO 服务自动化 CDP 清算监控系统出现延迟，没能及时执行所有的 CDP 比率调整，2 个受监控的 CDP 被清算，每个 CDP 可能包含大量的 ETH 抵押品。在过去的 24 小时内，以太坊价格暴跌，从最高的 197 美元暴跌至最低 154 美元左右，导致 DeFi Saver 自动化系统未及时执行所有 CDP 比率调整，清算了 2 个受监控的 CDP。DeFi Saver 社区经理 Nikola Jankovi?表示，自动化系统问题的根源与以太坊网络上大量交易延迟有关。在某一时刻，系统发送到以太坊网络的交易被延迟了，由于以太坊价格突然下跌导致以太坊交易数量大量增加。该公司表示，目前其他受监控的 CDP 都是安全的，并且处于其配置的比率内。Gas 费已作相应调整，自动化工作也恢复正常，并表示会对损失者作出补偿。9 月 15 日，DeFi Saver 在其仪表板中新增一个 CDP Automation 的功能，该工具允许客户配置 CDP，以更好地保护他们免遭清算，同时还允许用户设置比率目标自动排列安全的 CDP 值。[2019/9/26]

SpaceFalcon使用了一种名为Armstrong封装ETH的东西，我真的不了解，也懒得去做研究。显然，用户将不得不租用NFT，这可以为持有者提供一些被动收入。我告诉她，这个想法听起来还不错，让我随时了解最新情况。

然后，我就搜索了一下SpaceFalcon，之前我从未听说过这个项目，但它似乎是Solana上相当受欢迎的游戏项目。我在团队页面上看到了Linh的名字，Linh同意和我保持联系，然后我就继续做其他事情了。

在接下来的10天左右，heckshine每天都在Discord里活跃着，他拿出了一些超高质量的效果图。这些效果图不是特别适合，但他非常高兴能够提供帮助，我认为我们会通过一些迭代来进行改进。

在整个过程中，heckshine表现得多么真诚，我怎么强调也不过分。我们在愿景上非常一致，我很高兴他对我们的工作如此热情。

而昨天，是事情开始变得疯狂的时候，Heckshine和我已经就v1飞机的设计反复讨论了一段时间。他获得了整个配置，并准备在早上起床时开始渲染。

当我们快结束的时候，Linh向我传达了一些令人兴奋的消息。她说自己要去参观Wisk，并邀请我一起去见团队。她还提供了一个与Sebastien沟通的电子邮件截图，而对方就是Wisk的副总裁。

事后看来，这有点荒谬，但我当时没有理由认为这一切都是假的。我们确定了行程日期，Sebastien会通过电子邮件回复我一个正式邀请。我非常感激Linh的安排。

之后，Linh提到他们的质押应用已经启动了。她提议将NFT发送给我，而测试一下应用，是我能做的最少的事情！

我让她把这个NFT发送到我的热钱包里，但她却把NFT发送到了我的主钱包地址里，理由说是这个NFT很有价值。没什么大不了的，对吧？

她给我发了一些关于质押应用的说明，这个网站看起来不错，它有三个交易提示：NFT批准、Armstrong封装ETH的代币批准以及一个质押功能。代币批准似乎有点奇怪，但我没有持有它，所以我也没有担心。

然后就是我非常幸运的地方，由于这是一个新项目，我决定在质押之前，将这个NFT转移到一个新的ETH地址，以防项目被攻击或其他什么。接下来，质押完成了，我从中开始获得收益。

我告诉Linh，自己已经完成了质押，并说这很容易。她提议向我发送其他的NFT，同时希望让我把NFT放在自己的主钱包账户里，以帮助他们成长。这有点烦人，但我还是接受了。

我告诉Linh，在用我的主账户进行质押之前，我会看一遍整个合约，然后她开始变得咄咄逼人。这时，我终于意识到事情的不对劲。

于是我打开etherscan，寻找我第一次质押NFT的新地址，接下来发生的一幕吓的我浑身冰冷。

我批准的aWETH实际上并不是ArmstrongETH，而是Aave的aWETH，而我的主钱包，几乎我所有的ETH都存在了Aave...

识别出这是后，他们最终开始删除所有的Discord消息，作为某种最后的尝试，她还向我发送了0.2ETH，并要求我退还NFT，不知道这是什么逻辑。

我进一步深入研究了批准花费aWETH的合约，发现这可怕的函数能够让者从我的账户中转移任意数量的aWETH。

当我继续在etherscan上浏览者地址时，我最终找到了他们的资金来源——100ETH的TornadoCash存款。这些家伙不仅资金雄厚，还特别聪明。

我不得不假设他们雇佣了一名3D设计承包商，此人负责了Heckshine的大部分工作。据我所知，他们还建立了完全针对这个局的定制合约和前端。

那SpaceFalcon呢，这看起来像是一个正经项目，对吧？据我所知，这是Solana上的一个真实游戏项目。但真正的SpaceFalcon使用的官方域名是spacefalcon.io，而子以某种方式获得了spacefalcon.com的域名。

因此，和我一直在聊天互动的那个Linh，可能只是真正的Linh的冒名顶替者。

好吧，这里有什么经验教训？

代币批准可能非常危险，我总是会非常谨慎地对待它们。在可能的情况下，对批准设置上限是有道理的。

子们变得越来越聪明，在此之前，我遇到的局基本上是“你好，这里是技术支持，请分享你的私钥，以便我们提供帮助。”

针对这起精心策划的局，也有人评论称，小哥的ENS身份绑定给他招来了这次局，你有什么看法呢？

标签：以太坊ETHNFTCDPVSYS币会成为第二个以太坊吗PoolTogetherapenft币价格今日行情cdp币圈

SHIB最新价格热门资讯