LIBRA:三分钟看懂NFT空投新局：通过虚假WETH报价盗取资产

原文作者：NFT&MEV开发者0xfoobar

原文编译：DeFi之道

“我的钱包突然获得了一个未知NFT收藏品的空投，然后有人提供了1WETH的报价。这是怎么回事？接受它安全吗？”

长话短说，这些都是局，你无法通过交互获利。现在，让我们来了解一下这些局的原理！

OpenSea的工作方式是通过“授权”来转移你的NFT或WETH，而“授权”是你直接在代币合约上调用的特殊智能合约功能。它说：

“代币合约，请允许这个市场合约使用的我的资金或JPG。”

报告：非洲5300万加密货币用户中有超过三分之一来自尼日利亚:金色财经报道，根据 Triple A 最新的加密货币所有权数据，非洲大陆现在估计有 5300 万加密货币所有者。这约占全球估计总数 3.2 亿人的 16.5%。在非洲的所有加密货币持有者中，尼日利亚占总数的三分之一以上，即略高于 2200 万。

在全球范围内，尼日利亚的加密货币持有者数量排名第四，而美国是排名第一的国家，拥有 4600 万加密货币持有者。根据数据，印度和巴基斯坦位居第二，分别拥有 2740 万和 2640 万加密货币所有者。[2022/8/31 12:59:01]

这是危险的！但仅限于一个方向。如果市场是恶意的，那它就可以窃取你的资金和JPG。但是，如果资金/JPG是恶意的，那他们“就无法”窃取你的市场。

声音 | 肖磊：全球三分之一人口将拥有统一数字货币:6月9日，财经作家肖磊发文指出，拥有全球三分之一人口使用规模的美国社交巨头Facebook将在明年推出数字货币Libra。Libra将与“一篮子”货币挂钩，Facebook将通过基金会来运作Libra，这就类似于目前国际货币基金组织的结构，但其渗透能力远远要高于国际货币基金组织。全球货币市场，有太多的痛点需要解决，但自上而下的方案是行不通的，因为在这个领域，没有一个大国会主动放弃自己的铸币权。当前的问题在于，主权货币在适应全球性交易和结算领域，无法摆脱依赖于结算机构的问题，以及迅速满足消费场景变化的问题。在这种背景下，就算没有机构推出新的全球性支付模式，一些交易者也会采取现有的数字货币，比如比特币、以太坊等作为转账工具。当然，Libra不是用来颠覆美元的，更多的是解决用户的消费和转账问题。按照计划，2020年第一季度之前，Libra将在全球十几个国家中建立数字支付系统。而且也在筹备部署线下ATM（自动取款机）。[2019/6/10]

设计不佳的市场可能会存在一个漏洞，允许一个已授权的集合窃取另一个已授权的集合。这就是为什么我们要只使用健壮的、经过良好测试的网站。

三分之一的德国人将加密货币视为投资机会:德国邮政银行于今年 2 月底至 3 月底对 3,100 名德国人进行了采访之后，公布了 2018 年的最新研究成果。年龄在 18 到 34 岁之间的年轻一代中，有一半的人对加密货币投资感兴趣。这个比例占被调查个人总数的 46% 。此外， 14% 的人想在明年购买加密货币或者参与挖矿。 其中29% 的德国人认为加密货币是一个理想的投资机会。调查还显示，与股票、 CDs 和债券等传统金融工具相比，大多数 20 多岁的年轻人更喜欢投资加密货币。[2018/6/25]

下面是利用opensea使用的旧Wyvern合约进行攻击的示例：

因此，你只能通过调用资金/JPG合约来批准使用资金/JPG的外部合约。

而不是通过调用一个外部合约。

这就是为什么理论上与恶意合约交互是“安全的”，前提是你的交易直接进入恶意合约，并且你没有将任何原始ETH发送到payable函数。

但请注意，不要自己尝试这种危险操作。

当然，当人们认为他们正在与外部合约交互，但实际上正在与他们的资金/JPG合约交互时，就会发生危险。

会有一个网站跳出来跟你说：“点击此处以激活你的猿猴”，但钱包交易说的实际是“SETAPPROVALFORALL”。

在醉酒/兴奋/昏昏欲睡/fomo等情绪组合的影响下，人们就会签名将他们的毕生积蓄拱手让给他人。

那么，如果黑客无法控制你的钱包或资产，这些虚假的NFT报价游戏的计划是什么呢？

恶意行为者使用了几种攻击计划：

当你批准opensea市场合约以使用你的NFT，然后尝试接受该报价时，报价接受将会恢复。错误消息会包含一个URL，如果你访问该网站，它会试图让你签署一笔恶意交易。

NFT是一种代理合约，它可以在之后替换为不同的实现逻辑。

以下是一个从260个不同地址接收dust粉尘交易的地址，其中每个地址都创建了一个代理合约，以伪装成一个唯一的集合。

这些不良行为者的命中率很低，因此为了gas优化，他们将使用具有重NFT代码逻辑的单个实现合约，并部署许多看似独立集合的轻量级代理。

这里有更多关于代理模式的内容。

一些人认为，最近的NFT代理部署者开发了秘密功能，如果你在代理上调用approve，那他就可以窃取你的所有NFT。

出于上述的原因，这似乎是完全错误的。

gas优化是最可能的代理使用假设。

OpenSea前端在它调用的集合功能方面相当封闭，因此大多数虚假的WETH报价，只是为了引诱你去一个钓鱼网站。

总结一下：

虚假WETH报价将允许你批准该NFT的销售，但在你尝试接受报价时，交易会恢复。这会导致你浪费了gas手续费，同时又在Etherscan上revert消息引诱你进入钓鱼网站。

请保护好自己的钱包安全！

标签：加密货币NFTETHLIBRA加密货币到底有什么用nft币价格今日行情分析ETHFINlibra币官网

莱特币热门资讯