NFT 市場上出現新型態釣魚詐騙,近期有許多用戶接收到來路不明的 NFT 空投,這種 NFT 同時會在 OpenSea 上出現高報價。一旦用戶接受報價,報價會被撤回,用戶接下來還會被引誘前往釣魚網站,進而恐損失自身 NFT 等資產。
NFT 開發者 foobar 在 Twitter 上警告,NFT 市場上出現新型態釣魚詐騙,有許多用戶莫名接收到不知名 NFT 空投,這些 NFT 在 OpenSea 上已有不錯報價,即使用戶接受報價,最終交易也將報錯無法成交,並會在交易錯誤資訊處嘗試引導用戶前往釣魚網站授權,以盜取用戶 NFT 等資產。
針對惡意攻擊者要如何進行詐騙,foobar 首先解釋了 OpenSea 的運作原理:
OpenSea 的工作方式是通過「批准」來轉移你的 NFT 或 WETH,批准指的是你直接在代幣合約上調用特殊智能合約功能,這代表的意思是「代幣合約,請允許這個市場的合約使用我的資金或 jpegs」。
這是危險的!但僅限於一個方向,如果市場方是惡意的,它可以竊取你的資金/jpeg,但是,如果資金/jpeg 是惡意的,他們「無法」竊取您的市場。用戶只能通過調用資金/jpegs 合約、而非通過調用外部合約,來授權外部合約使用用戶本身的資金/jpegs ,因此,他進一步解釋,當人們認為他們正在與外部合約互動、但實際上是在與他們的貨幣/jpegs 合約互動時,就會發生危險。
foobar 解釋,當前惡意攻擊者的手法是:
當用戶批准合約以接受報價時,報價會被撤回並收到一個錯誤訊息。錯誤訊息中包含了一個網址,當用戶點進去該網站後,它會誘導用戶簽署一份惡意交易,若不小心簽署了資產便會被竊取。
foobar 最後總結,虛假 WETH 的報價將誘惑用戶批准 NFT 的銷售,但在用戶嘗試接受報價時,交易又會撤回,這會導致用戶浪費了 Gas 手續費,同時又在 Etherscan 被交易錯誤資訊處引誘進釣魚網站,提醒用戶應該注意安全,切勿輕易授權合約!