NFT:三分钟看懂NFT空投新局：通过虚假WETH报价盗取资产_NFT SolPad

作者：

时间：1900/1/1 0:00:00

原文作者：NFT&MEV开发者0xfoobar

原文编译：DeFi之道

“我的钱包突然获得了一个未知NFT收藏品的空投，然后有人提供了1WETH的报价。这是怎么回事？接受它安全吗？”

长话短说，这些都是局，你无法通过交互获利。现在，让我们来了解一下这些局的原理！

OpenSea的工作方式是通过“授权”来转移你的NFT或WETH，而“授权”是你直接在代币合约上调用的特殊智能合约功能。它说：

“代币合约，请允许这个市场合约使用的我的资金或JPG。”

报告：三分之二的AI Chrome扩展程序可能危及用户安全:金色财经报道，Incogni最新报告的数据显示，超过三分之二的Google Chrome浏览器人工智能扩展具有高风险影响，如果遭到破坏，可能会对用户网络安全造成“严重损害”。

8月份的报告分析了7个不同类别的70个AI Chrome扩展程序，其中10个写作扩展程序均属于高风险类别。70个扩展中的48个如果搁浅，就会属于高风险影响类别，但60%的扩展首先面临安全漏洞的风险较低。

Incogni负责人Darius Belejevas表示，虽然这些扩展提供了“不可否认的便利”，但用户应该将隐私和安全保护作为首要任务。[2023/8/8 21:32:08]

这是危险的！但仅限于一个方向。如果市场是恶意的，那它就可以窃取你的资金和JPG。但是，如果资金/JPG是恶意的，那他们“就无法”窃取你的市场。

Bankless：Q2以太坊网络交易费用跌超三分之一:7月11日消息，据Bankless最新发布的《以太坊现状报告——2022年第二季度》数据显示，由于4月至6月期间加密市场低迷，以太坊网络交易费用在二季度下降了33.4%——从2022年第一季度的19.1亿美元下降到12.8亿美元。

此外，二季度以太坊日均活跃地址下降20.6%，链上锁仓量从一季度的594.2亿美元下降到342.1亿美元，跌幅达到42.4%；链上DEX现货交易量从一季度的3505.4亿美元跌至3191.3亿美元，跌幅为9%。[2022/7/11 2:04:43]

设计不佳的市场可能会存在一个漏洞，允许一个已授权的集合窃取另一个已授权的集合。这就是为什么我们要只使用健壮的、经过良好测试的网站。

研究：三分之二的金融顾问与客户讨论加密货币，但很少采取行动:4月5日消息，Coalition Greenwich一项新的研究显示，尽管三分之二的金融顾问在过去一年里与客户讨论过加密或数字资产，但他们并没有采取多少行动。在参与这项研究的600多名顾问中，只有15%为散户投资者制定了涉及比特币或数字资产的战略或提供产品。

此外，有32%的受访者表示，他们公司的政策不允许这样做，26%的人表示，这样做不适合他们的客户，15%的人表示他们预计明年会这样做，13%的人表示他们缺乏这样做的工具。（The Block）[2022/4/5 14:05:33]

下面是利用opensea使用的旧Wyvern合约进行攻击的示例：

因此，你只能通过调用资金/JPG合约来批准使用资金/JPG的外部合约。

而不是通过调用一个外部合约。

这就是为什么理论上与恶意合约交互是“安全的”，前提是你的交易直接进入恶意合约，并且你没有将任何原始ETH发送到payable函数。

但请注意，不要自己尝试这种危险操作。

当然，当人们认为他们正在与外部合约交互，但实际上正在与他们的资金/JPG合约交互时，就会发生危险。

会有一个网站跳出来跟你说：“点击此处以激活你的猿猴”，但钱包交易说的实际是“SETAPPROVALFORALL”。

在醉酒/兴奋/昏昏欲睡/fomo等情绪组合的影响下，人们就会签名将他们的毕生积蓄拱手让给他人。

那么，如果黑客无法控制你的钱包或资产，这些虚假的NFT报价游戏的计划是什么呢？

恶意行为者使用了几种攻击计划：

当你批准opensea市场合约以使用你的NFT，然后尝试接受该报价时，报价接受将会恢复。错误消息会包含一个URL，如果你访问该网站，它会试图让你签署一笔恶意交易。