本文梳理自 Web3 创作者工具应用 Sprise 和 Pally.gg 联合创始人 Montana Wong 在个人社交媒体平台上的观点,其整理翻译如下:
「degen meta」是 NFT 领域的当前趋势,团队以 Free Mint 的形式启动项目,很少或直接不提供项目路线图,这种形式被诸如 goblintown 等项目成功带火。这种形式在熊市中很好,因为 Free Mint 起码不会亏本。
骗子们利用这一点。他们现在不再创建虚假项目来骗取你的 ETH,而是营造 FOMO 气氛诱导你参加免费的「degen」Mint 项目,骗你授予他们权限转走你钱包里 NFT。
通常他们首先使用 Premint 等合法服务,为他们的预售名单抽奖。Premint 不会对使用他们服务的项目做任何审查,但很多人不知道这一点,还以为这些抽奖活动「有 Premint 背书」。
更糟糕的是,Premint 允许抽奖创建者提出某些要求,例如「必须持有 1 枚 Moonbirds NFT」才能参加。这可以在不经过原项目方同意的情况下,搞出假装得到官方认可的虚假抽奖活动。
「白名单预售」时你仍然会用持有高价值 NFT 的钱包参与铸造,因为最初参与抽奖需要用到它们。这就是你的 NFT 会被盗的地方,让我们看看这是如何进行的。
今天这一骗局出现了一个新版本「aLL tHiNg bEgiNs」,导致几枚高价值的 Moonbirds NFT 被盗。
如果你去他们的网站,它看起来就像一个典型的摆烂 Free Mint 项目,带有连接钱包和 Mint 选项。不过一旦你深入了解,就会发现这个网站绝不是这么简单。
可以注意到的第一件事,就是他们网站的大量代码都复制自 goblintown 网站。
其次,如果你查看页面上的 JavaScript,有一个名为 signupxx44777.js 的文件,这就是漏洞所在。
连接钱包后,该代码就会开始运作,字面上写着「drain NFTs」。然而该代码的真正目的是:
- 浏览你地址里的内容
- 使用 OpenSea 的 API 来确定哪个是你最值钱的 NFT
- 识别出你最值钱的 NFT 并找到它的智能合约信息
- 一旦你点击「mint」,它就会产生一笔交易与你最值钱的 NFT 的合约发生交互,这一 setApprovalForAll 交易会授予骗子转走你 NFT 的权限
因此,尽管你认为你只是执行了一次典型的 Free Mint 交易,但实际上你已经允许骗子从你的钱包中转走那些你最值钱的 NFT,简单粗暴。
总之,这一漏洞利用的工作原理如下:
- 围绕免费的 Degen Mint 项目进行炒作,使用 Premint 等合法工具诱使高价值钱包参与
- 创建一个带有恶意 JavaScript 的网站,扫描你的钱包以获得最高价值的 NFT
- 虚假的 Mint 选项,实际不会产生一笔 Mint 交易,而会创建一笔授予骗子转走你 NFT 权限的恶意交易
- 用相同的代码在不同的「项目」下重复步骤 1-3
这些骗局中大部分可能都是一个人搞出来的,一定要注意安全。
(声明:请读者严格遵守所在地法律法规,本文不代表任何投资建议)
