原文作者:MontanaWong
原文编译:0x9F、czgsws,BlockBeats
本文梳理自Web3创作者工具应用?Sprise和Pally.gg联合创始人?MontanaWong?在个人社交媒体平台上的观点,BlockBeats对其整理翻译如下:
「degenmeta」是NFT领域的当前趋势,团队以FreeMint的形式启动项目,很少或直接不提供项目路线图,这种形式被诸如?goblintown?等项目成功带火。这种形式在熊市中很好,因为FreeMint起码不会亏本。
朱光耀:要高度警惕美国超预期的货币政策调整:4月24日消息,CWM50顾问、中国财政部原副部长朱光耀在中国财富管理50人论坛举办的“2022资管峰会”上表示,我国要高度警惕美国超预期的货币政策调整。美国此次货币政策的调整,无论从力度还是速度均大于以往。他预计,今年美联储或将多次加息,尤其是下月马上到来的议息会议或将提息50个基点,亦有同时缩表的可能。美联储明年是否还将持续加息,主要看其8.5%的通胀率是否能够较快速下降。 (金十)[2022/4/24 14:44:59]
子们利用这一点。他们现在不再创建虚假项目来取你的ETH,而是营造FOMO气氛诱导你参加免费的「degen」Mint项目,你授予他们权限转走你钱包里NFT。
Compound总法律顾问:政府对BTC的看法可瞬间转变 不能放松警惕:7月27日,Compound总法律顾问Jake Chervinsky发推,再次讨论美国货币监理署加密政策称,美国货币监理署的信件令人鼓舞,但不能放松警惕。政府对比特币的看法可以瞬间转变。我们在华盛顿还有很多工作要做。[2020/7/27]
通常他们首先使用Premint等合法服务,为他们的预售名单抽奖。Premint不会对使用他们服务的项目做任何审查,但很多人不知道这一点,还以为这些抽奖活动「有Premint背书」。
更糟糕的是,Premint允许抽奖创建者提出某些要求,例如「必须持有1枚MoonbirdsNFT」才能参加。这可以在不经过原项目方同意的情况下,搞出假装得到官方认可的虚假抽奖活动。
安全公司:警惕EOS账号买卖中通过多签提案回收EOS账号风险:在EOS账号买卖市场中,已知的回收账号的方式是通过在账号卖出前使用该账号发起一笔修改账号权限延时交易,待账号成交后延时交易触发,账号权限被改,达到回收账号的目的。
据慢雾区伙伴“红石”的情报,目前存在一种新型的回收账号攻击。攻击者可事先利用卖出账号发起一笔更改权限的多签提案,并使用卖出账号和攻击者控制的另一个账号同意此提案,由于通过提案与执行提案两个动作可分开执行,此时先不执行提案,等账号卖出后,使用任意账号执行此提案,更改卖出账号权限,即可达到回收账号的目的。[2020/4/9]
「白名单预售」时你仍然会用持有高价值NFT的钱包参与铸造,因为最初参与抽奖需要用到它们。这就是你的NFT会被盗的地方,让我们看看这是如何进行的。
今天这一局出现了一个新版本「aLLtHiNgbEgiNs」,导致几枚高价值的MoonbirdsNFT被盗。
如果你去他们的网站,它看起来就像一个典型的摆烂FreeMint项目,带有连接钱包和Mint选项。不过一旦你深入了解,就会发现这个网站绝不是这么简单。
可以注意到的第一件事,就是他们网站的大量代码都复制自?goblintown?网站。
其次,如果你查看页面上的JavaScript,有一个名为signupxx44777.js的文件,这就是漏洞所在。
连接钱包后,该代码就会开始运作,字面上写着「drainNFTs」。然而该代码的真正目的是:
1.浏览你地址里的内容?
2.使用OpenSea的API来确定哪个是你最值钱的NFT?
3.识别出你最值钱的NFT并找到它的智能合约信息
4.一旦你点击「mint」,它就会产生一笔交易与你最值钱的NFT的合约发生交互,这一setApprovalForAll交易会授予子转走你NFT的权限
因此,尽管你认为你只是执行了一次典型的FreeMint交易,但实际上你已经允许子从你的钱包中转走那些你最值钱的NFT,简单粗暴。
总之,这一漏洞利用的工作原理如下:
1.围绕免费的DegenMint项目进行炒作,使用Premint等合法工具诱使高价值钱包参与
2.创建一个带有恶意JavaScript的网站,扫描你的钱包以获得最高价值的NFT
3.虚假的Mint选项,实际不会产生一笔Mint交易,而会创建一笔授予子转走你NFT?权限的恶意交易
4.用相同的代码在不同的「项目」下重复步骤1-3
这些局中大部分可能都是一个人搞出来的,一定要注意安全。如果你认为自己受到了这些局之一的影响,你可以通过?revoke.cash?撤销对所有值钱NFT的访问权限,或尽快将它们转移至硬件钱包。
原文链接
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。