NFT 開發人員 foobar 近日於 Twitter 上分享OpenSea 新型態詐騙手法,penSea 一般在批准交易後,將透過外部合約授權 OpenSea 代幣合約的使用權限,因此可以將用戶的 NFT 及 WETH 轉移以完成交易。
在此模式下,假設授權的二級市場不懷好心,是可以輕鬆竊取用戶的資產的。然而,若能確認市場的安全,即便交易的 NFT 或代幣不安全,資產也不會有遺失的風險,因為並沒有直接與代幣或 NFT 的合約互動。這次分享的詐騙方式,就是透過高價引誘用戶賣出的不知名空投,而造成用戶資產損失的。
根據 foobar 的說法,當用戶批准合約以接受報價時,報價會被撤回並收到一個錯誤訊息。錯誤訊息中包含了一個網址,當用戶點進去該網站後,它會誘導用戶簽署一份惡意交易,若不小心簽署了資產便會被竊取。這些 NFT 是一種代理合約,可以以相同的邏輯套用在其他 NFT 上。
此地址從 260 個不同地址中搜集到許多的 ETH,這 260 個地址皆創建了一個 NFT,也就是上面提到的代理合約,來偽裝成一個獨特的 NFT 蒐藏系列以騙取用戶。
