Kemas Kini Dompet Ethereum MetaMask Ini Boleh Membantu Menghalang Penipuan NFT

Penipuan media sosial adalah berkembang pesat dalam ruang NFT, dengan Twitter dan Pengguna Discord ditipu untuk menghubungkan kripto mereka dompet kepada berniat jahat kontrak pintar—dan memilikinya NFTs dan token lain meleret sebagai hasilnya. Sekarang bahagian atas Ethereum dompet, MetaMask, telah mengemas kini antara mukanya untuk mencuba dan membantu pengguna mengenali dan mengelakkan penipuan tersebut.

MetaMask mengeluarkan kemas kini 10.18.0 baharu pada dompet minggu ini, yang termasuk perubahan pada cara perisian mempersembahkan kebenaran setApprovalForAll yang diminta. Pemberian kebenaran itu membolehkan kontrak pintar—kod yang memberi kuasa kepada NFT dan aplikasi terdesentralisasi—keupayaan untuk mengakses dan memindahkan semua NFT dan token dalam dompet.

Berikutan kemas kini, sebagai firma keselamatan Wallet Guard dicatatkan di Twitter, MetaMask kini menjadikannya lebih jelas bahawa kontrak pintar meminta kebenaran yang luas, termasuk akses kepada mana-mana dana yang dipegang dalam dompet—fungsi yang boleh digunakan untuk eksploitasi yang dipanggil "pengosongan dompet".

Tangkapan skrin disiarkan ke MetaMask Repositori pembangunan perisian GitHub tunjukkan gesaan baharu yang menggunakan fon yang lebih besar daripada seluruh antara muka. Teks contoh berbunyi, "Berikan kebenaran untuk mengakses semua BAYC anda?" (atau Kelab Layar Ape Bosan), dengan bacaan amaran tambahan, "Dengan memberikan kebenaran, anda membenarkan akaun berikut mengakses dana anda."

Jurutera Perisian MetaMask Alex Donesky menulis di GitHub pada 22 Jun bahawa "terdapat keperluan mendesak untuk mendapatkan sesuatu di luar sana kerana kaedah ini sangat biasa digunakan." Dia juga menambah bahawa "garis masa dimampatkan," dan mengakui bahawa ia bukan cara dia akan mendekati perubahan jika ada lebih banyak masa untuk membangunkannya.

Malah, kemas kini itu datang berikutan banyak penipuan yang disebarkan terutamanya melalui akaun media sosial yang digodam. Pada musim bunga, akaun yang disahkan daripada banyak Pengguna Twitter telah dirampas dan digunakan untuk berkongsi pautan penipuan yang diilhamkan oleh projek NFT yang terkenal seperti Azuki dan Lain-lain, dan mencuri NFT dan token pengguna yang tanpa disedari menyambungkan dompet mereka kepada kontrak pintar.

Baru-baru ini, akaun Twitter pelbagai projek NFT dan pengumpul terkenal telah digodam untuk berkongsi jenis pautan yang serupa, menagihnya sebagai NFT atau penurunan token percuma. Penipuan sedemikian telah berlaku melalui akaun Discord dan Instagram yang digodam juga. Ia telah membawa kepada perdebatan sama ada pencipta dan projek harus memberi pampasan kepada pengguna yang kehilangan aset melalui penipuan tersebut.

Awal bulan ini, platform pendaftaran drop NFT Premint telah terjejas oleh penggodaman ke tapak webnya yang menggunakan fungsi setApprovalForAll untuk mencuri pelbagai NFT dan token berharga daripada pengguna yang terjejas. Akhirnya, firma itu membayar balik pengguna mengikut kadar lebih dari $ 500,000 bernilai ETH, dan membeli balik dan memulangkan sepasang barang koleksi NFT yang mahal juga.

"Antara muka pengguna untuk dompet paling popular perlu dipertingkatkan secara drastik untuk menjadikannya hampir mustahil bagi seseorang untuk menyambung ke penyaring dompet," pengasas Premint Brenden Mulligan memberitahu Decrypt minggu lepas. "Ini adalah masalah yang boleh diselesaikan, tetapi ia sangat gila kerana sangat mudah untuk menghabiskan dompet dan tidak ada lagi amaran untuk melindungi orang ramai."

Untuk menjadi jelas, kemas kini MetaMask tidak membuat sebarang panggilan penghakiman tentang kontrak yang cuba disambungkan oleh pengguna, dan tidak secara khusus menyebut penipuan yang dikenal pasti. Tambahan pula, terdapat potensi penggunaan yang sah untuk fungsi setApprovalForAll untuk dapps tertentu, seperti pada pasaran NFT, yang hanya mengelirukan lagi keputusan pengguna.

Namun, kemas kini MetaMask boleh membantu meminimumkan kesan penipuan. Beberapa pengumpul NFT yang telah jatuh untuk penipuan media sosial sedemikian telah dituduh meluluskan transaksi secara melulu disebabkan FOMO dan kegilaan spekulatif di sekitar NFT, dan langkah tambahan ini mungkin memberi pengguna jeda-dan peluang untuk mempertimbangkan semula tindakan mereka.

Kami akan melihat sama ada MetaMask meneruskan ciri baharu ini dalam kemas kini masa hadapan, serta sama ada dompet pesaing akan menggunakan teknik serupa. Penipuan tidak terhad kepada pengguna MetaMask, dan bukan kepada Ethereum juga. Solana mempunyai fungsi yang serupa (signAllTransactions), dan seorang pengumpul NFT yang terkenal baru sahaja menjadi mangsa penipuan sedemikian melaluinya Dompet hantu.

Nama samaran pengasas bersama MonkeDAO, Nom, malam tadi tweeted tentang bagaimana dompetnya habis dalam serangan apabila dia berinteraksi dengan kontrak pintar yang dia fikir selamat digunakan. Nom menulis bahawa dia kehilangan kira-kira 500 SOL (kira-kira $20,200) dan NFT termasuk satu daripada Perniagaan Monyet Solana, yang mana penyerang kemudian dijual dengan harga 197 SOL ($ 7,736).