โดยสังเขป
- Ethereum wallet MetaMask ได้รับการอัปเดตเพื่อให้ผู้ใช้ตระหนักดีถึงสิ่งที่พวกเขากำลังเซ็นชื่อเมื่อมีการขออนุญาตบางอย่าง
- ฟังก์ชันดังกล่าวใช้กันอย่างแพร่หลายในการหลอกลวงทางโซเชียลมีเดีย ซึ่งพบว่าผู้ใช้สูญเสีย NFT และโทเค็นมูลค่าหลายล้านดอลลาร์
การหลอกลวงทางโซเชียลมีเดียคือ เฟื่องฟูในพื้นที่ NFT, กับ Twitter และ ผู้ใช้ Discord โดนหลอก ในการเชื่อมต่อ crypto . ของพวกเขา กระเป๋าสตางค์ มุ่งร้าย สัญญาสมาร์ท—และมี .ของพวกเขา NFTS และโทเค็นอื่น ๆ รูดเป็นผล ตอนนี้ด้านบน Ethereum กระเป๋าสตางค์ MetaMaskได้อัปเดตอินเทอร์เฟซเพื่อพยายามช่วยให้ผู้ใช้รู้จักและหลีกเลี่ยงการหลอกลวงดังกล่าว
MetaMask ออกอัปเดต 10.18.0 ใหม่สำหรับกระเป๋าเงินในสัปดาห์นี้ ซึ่งรวมถึงการเปลี่ยนแปลงวิธีที่ซอฟต์แวร์แสดงการอนุญาต setApprovalForAll ที่ร้องขอ การอนุญาตนั้นทำให้ สัญญาสมาร์ท—รหัสที่ขับเคลื่อน NFT และ แอปที่กระจายอำนาจ—ความสามารถในการเข้าถึงและถ่ายโอน NFT ทั้งหมดและ สัญญาณ ในกระเป๋าเงิน
หลังจากการอัพเดทในฐานะบริษัทรักษาความปลอดภัย Wallet Guard บันทึกไว้ใน Twitterตอนนี้ MetaMask ทำให้ชัดเจนยิ่งขึ้นว่าสัญญาอัจฉริยะกำลังขอการอนุญาตในวงกว้าง รวมถึงการเข้าถึงเงินทุนใดๆ ที่อยู่ภายในกระเป๋าเงิน ซึ่งเป็นฟังก์ชันที่สามารถใช้สำหรับช่องโหว่ที่เรียกว่า "wallet drainer"
.@เมทามาส 10.18.0 ออก ?
การอัปเดตนี้รวมถึงการเน้นที่จำเป็นมากเมื่อการทำธุรกรรมร้องขอ "ตั้งค่าการอนุมัติสำหรับทุกคน"
ขอชื่นชมทีมงานที่จัดการเรื่องนี้อย่างรวดเร็ว pic.twitter.com/zWHVVPszzR
– Wallet Guard (@wallet_guard) กรกฎาคม 27, 2022
ภาพหน้าจอที่โพสต์ไปที่ MetaMask's พื้นที่เก็บข้อมูลการพัฒนาซอฟต์แวร์ GitHub แสดงพรอมต์ใหม่ที่ใช้ฟอนต์ขนาดใหญ่กว่าส่วนต่อประสานที่เหลือ ข้อความตัวอย่างอ่านว่า "อนุญาตให้เข้าถึง BAYC ทั้งหมดของคุณหรือไม่" (หรือ เบื่อ Ape Yacht Club) พร้อมคำเตือนเพิ่มเติมว่า “โดยการอนุญาต คุณกำลังอนุญาตให้บัญชีต่อไปนี้เข้าถึงเงินของคุณ”
Alex Donesky วิศวกรซอฟต์แวร์ของ MetaMask เขียนบน GitHub เมื่อวันที่ 22 มิถุนายน ว่า "มีความจำเป็นเร่งด่วนที่จะต้องดำเนินการบางอย่างออกไป เนื่องจากวิธีนี้มักใช้กันทั่วไป" เขายังเสริมว่า “ไทม์ไลน์ถูกบีบอัด” และยอมรับว่าไม่ใช่วิธีที่เขาจะเข้าใกล้การเปลี่ยนแปลงหากมีเวลามากขึ้นในการพัฒนา
อันที่จริง การอัปเดตเกิดขึ้นหลังจากการหลอกลวงจำนวนมากที่แพร่กระจายผ่านบัญชีโซเชียลมีเดียที่ถูกแฮ็กเป็นหลัก ในฤดูใบไม้ผลิ บัญชีที่ตรวจสอบแล้วจำนวนมาก ผู้ใช้ Twitter ถูกจี้ และเคยแชร์ลิงก์หลอกลวงที่ได้รับแรงบันดาลใจจากโครงการ NFT ที่โดดเด่นเช่น Azuki และ Othersideและขโมย NFT และโทเค็นของผู้ใช้ที่เชื่อมต่อกระเป๋าเงินของพวกเขากับสัญญาอัจฉริยะโดยไม่รู้ตัว
ล่าสุด บัญชี Twitter ของโปรเจ็กต์ NFT ต่างๆ และนักสะสมที่มีชื่อเสียงถูกแฮ็กเพื่อแชร์ลิงก์ประเภทเดียวกัน โดยเรียกเก็บเงินเป็น NFT หรือโทเค็นดรอปฟรี การหลอกลวงดังกล่าวเกิดขึ้นผ่านบัญชี Discord และ Instagram ที่ถูกแฮ็กเช่นกัน ทำให้เกิดการถกเถียงกันว่าครีเอเตอร์และโครงการต่างๆ หรือไม่ ควรชดเชยผู้ใช้ ที่สูญเสียทรัพย์สินผ่านการหลอกลวงดังกล่าว
เมื่อต้นเดือนนี้ Premint แพลตฟอร์มการลงทะเบียนดรอป NFT ได้รับผลกระทบจากการแฮ็กไปยังเว็บไซต์ที่ใช้ฟังก์ชัน setApprovalForAll เพื่อ ขโมย NFT และโทเค็นที่มีค่ามากมาย จากผู้ใช้ที่ได้รับผลกระทบ ในที่สุด บริษัทก็คืนเงินให้ผู้ใช้เป็นค่า ETH . มูลค่ากว่า $500,000และซื้อคืนและส่งคืนของสะสม NFT ราคาแพงเช่นกัน
“อินเทอร์เฟซผู้ใช้สำหรับกระเป๋าเงินที่ได้รับความนิยมสูงสุดจำเป็นต้องได้รับการปรับปรุงอย่างมากเพื่อให้แทบจะเป็นไปไม่ได้เลยที่จะมีใครเชื่อมต่อกับผู้ระบายกระเป๋าเงิน” Brenden Mulligan ผู้ก่อตั้ง Premint บอก ถอดรหัส สัปดาห์ที่ผ่านมา. “นี่เป็นปัญหาที่แก้ไขได้ แต่เรื่องบ้าๆ บอ ๆ ที่ง่ายต่อการระบายกระเป๋าเงิน และไม่มีคำเตือนเพิ่มเติมในการปกป้องผู้คน”
เพื่อความชัดเจน การอัปเดตของ MetaMask ไม่ได้ทำการตัดสินใดๆ เกี่ยวกับสัญญาที่ผู้ใช้พยายามเชื่อมต่อ และไม่ได้ระบุถึงการหลอกลวงที่ระบุโดยเฉพาะ นอกจากนี้ยังมีการใช้งานที่ถูกต้องตามกฎหมายสำหรับฟังก์ชัน setApprovalForAll สำหรับ DApp บางตัว เช่น บน NFT Marketplace ซึ่งจะทำให้การตัดสินใจของผู้ใช้สับสนมากขึ้นเท่านั้น
อย่างไรก็ตาม การอัปเดต MetaMask สามารถช่วยลดผลกระทบของการหลอกลวงได้ นักสะสม NFT บางคนที่ตกหลุมรักการหลอกลวงทางโซเชียลมีเดียดังกล่าว ถูกกล่าวหาว่าอนุมัติธุรกรรมโดยประมาทเนื่องจาก FOMO และการเก็งกำไรรอบ ๆ NFTs อย่างบ้าคลั่ง และขั้นตอนพิเศษนี้อาจทำให้ผู้ใช้หยุดชั่วคราว—และมีโอกาสที่จะพิจารณาการกระทำของพวกเขาอีกครั้ง
เราจะดูว่า MetaMask นำคุณลักษณะใหม่นี้ไปใช้ในการอัปเดตในอนาคตหรือไม่ และกระเป๋าสตางค์ที่แข่งขันกันจะใช้เทคนิคที่คล้ายคลึงกันหรือไม่ การหลอกลวงไม่ได้จำกัดเฉพาะผู้ใช้ MetaMask เท่านั้น และไม่รวมถึง Ethereum ด้วยเช่นกัน โซลานา มีฟังก์ชั่นที่คล้ายกัน (signAllTransactions) และนักสะสม NFT ที่มีชื่อเสียงเพิ่งตกเป็นเหยื่อของการหลอกลวงผ่านของเขา กระเป๋าสตางค์ Phantom.
การช่วยเหลือพระที่หลงทาง: ชันสูตรพลิกศพในการทำให้กระเป๋าเงินหมดและสูญเสีย PFP . ของฉัน
อันดับแรก กระทู้นี้ไม่ใช่การเรียกบริจาค ฉันมีเงินเพื่อชดใช้สิ่งที่สูญเสียไป และในขณะที่ฉันซาบซึ้งในความรัก เงินของคุณน่าจะช่วยคนอื่นได้ดีกว่า!
— N○M (?,?) (@TheOnlyNom) กรกฎาคม 28, 2022
นามแฝง ผู้ร่วมก่อตั้ง MonkeDAO, Nom เมื่อคืนนี้ ทวีต เกี่ยวกับวิธีที่กระเป๋าเงินของเขาหมดไปจากการโจมตี เมื่อเขาโต้ตอบกับสัญญาอัจฉริยะที่เขาคิดว่าปลอดภัยที่จะใช้ Nom เขียนว่าเขาสูญเสียประมาณ 500 SOL (ประมาณ $20,200) และ NFT รวมถึงหนึ่งจาก ธุรกิจลิงโซลานาซึ่งผู้โจมตีแล้ว ขายในราคา 197 SOL ($ 7,736)
ติดตามข่าวสาร crypto รับการอัปเดตทุกวันในกล่องจดหมายของคุณ
ที่มา: https://decrypt.co/106164/metamask-ethereum-wallet-update-help-thwart-nft-scams