Гэта абнаўленне кашалька MetaMask Ethereum можа дапамагчы прадухіліць махлярства з NFT

Махлярства ў сацыяльных сетках бум у прасторы NFT, з Twitter і Карыстальнікі Discord падмануты у падключэнні іх крыпта Кашалькі да шкоднасных разумныя кантракты— і маючы іх NFT і іншыя жэтоны, знятыя ў выніку. Цяпер верх Эфириума кашалёк, MetaMask, абнавіў свой інтэрфейс, каб паспрабаваць дапамагчы карыстальнікам распазнаваць і пазбягаць такіх махлярстваў.

На гэтым тыдні MetaMask выпусціла новае абнаўленне 10.18.0 для кашалька, якое ўключае змены ў тым, як праграмнае забеспячэнне прадстаўляе запытаны дазвол setApprovalForAll. Прадастаўленне гэтага дазволу дазваляе разумны кантракт—код, які забяспечвае NFT і дэцэнтралізаваныя прыкладанні— магчымасць доступу і перадачы ўсіх NFT і лексемы у кашальку.

Пасля абнаўлення, як ахоўная фірма Wallet Guard адзначана ў Twitter, MetaMask цяпер дае зразумець, што смарт-кантракт запытвае шырокія дазволы, уключаючы доступ да любых сродкаў, якія захоўваюцца ў кашальку - функцыя, якая можа быць выкарыстана для так званых эксплойтаў «высмоктвання кашалька».

Скрыншоты размешчаны ў MetaMask Рэпазітар распрацоўкі праграмнага забеспячэння GitHub паказаць новую падказку, якая выкарыстоўвае большы шрыфт, чым астатні інтэрфейс. Прыклад тэксту абвяшчае: «Даць дазвол на доступ да ўсіх вашых BAYC?» (або Сумна Ape Yacht Club), з дадатковым папярэджаннем: «Даючы дазвол, вы дазваляеце наступнаму акаўнту доступ да вашых сродкаў».

Інжынер-праграміст MetaMask Алекс Данескі напісаў на GitHub 22 чэрвеня, што «ёсць некаторая неабходнасць атрымаць што-небудзь там, паколькі гэты метад вельмі часта выкарыстоўваецца». Ён таксама дадаў, што «тэрміновая шкала сціснутая», і прызнаў, што гэта не тое, як ён падыдзе да змены, калі будзе больш часу для яе распрацоўкі.

Сапраўды, абнаўленне адбылося пасля серыі махлярстваў, якія ў асноўным распаўсюджваюцца праз узламаныя акаўнты ў сацыяльных сетках. Увесну правераны рахункі шматлікіх Карыстальнікаў Twitter захапілі і выкарыстоўваецца для абмену ашуканскімі спасылкамі, натхнёнымі вядомымі праектамі NFT, такімі як Azuki і іншы бок, і крадуць NFT і токены карыстальнікаў, якія мімаволі падключылі свае кашалькі да смарт-кантрактаў.

Зусім нядаўна ўліковыя запісы Twitter розных праектаў NFT і вядомых калекцыянераў былі ўзламаныя, каб падзяліцца падобнымі тыпамі спасылак, выстаўляючы іх як бясплатныя NFT або падзенне токенаў. Такія махлярствы таксама адбываліся праз узламаныя акаўнты Discord і Instagram. Гэта прывяло да дыскусіі наконт таго, ці стваральнікі і праекты павінны кампенсаваць карыстальнікам якія губляюць актывы праз такія афёры.

Раней у гэтым месяцы на платформу дроп-рэгістрацыі NFT Premint паўплываў узлом яе вэб-сайта, які выкарыстоўваў функцыю setApprovalForAll для выкрасці масіў каштоўных NFT і токенаў ад пацярпелых карыстальнікаў. У канчатковым выніку фірма кампенсавала карыстальнікам выдаткі ў памеры ETH на суму больш за 500,000 XNUMX долараў, а таксама выкупіў і вярнуў пару дарагіх прадметаў калекцыянавання NFT.

«Карыстальніцкі інтэрфейс для самых папулярных кашалькоў трэба значна палепшыць, каб зрабіць практычна немагчымым падключэнне да прылады асушэння кашалькоў», — заснавальнік Premint Брэндэн Маліган. сказаў расшыфроўваць на мінулым тыдні. «Гэта вырашальная праблема, але гэта вар'яцтва, што так лёгка асушыць кашалёк і няма больш папярэджанняў, каб абараніць людзей».

Каб было ясна, абнаўленне MetaMask не выносіць ніякіх асуджэнняў аб кантракце, да якога карыстальнікі спрабуюць падключыцца, і канкрэтна не заклікае да выяўленага махлярства. Акрамя таго, існуе патэнцыйна законнае выкарыстанне функцыі setApprovalForAll для некаторых dapp, напрыклад, на рынках NFT, што толькі яшчэ больш ускладняе рашэнне карыстальніка.

Тым не менш, абнаўленне MetaMask можа дапамагчы мінімізаваць наступствы махлярства. Некаторых калекцыянераў NFT, якія трапіліся на такія афёры ў сацыяльных сетках, абвінавацілі ў неабдуманым ухваленні транзакцый з-за FOMO і спекулятыўнага вар'яцтва вакол NFT, і гэты дадатковы крок можа даць карыстальнікам паўзу — і магчымасць перагледзець свае дзеянні.

Мы ўбачым, ці будзе MetaMask развіваць гэтую новую функцыю ў будучых абнаўленнях, а таксама ці будуць канкуруючыя кашалькі выкарыстоўваць падобныя метады. У рэшце рэшт, махлярства распаўсюджваецца не толькі на карыстальнікаў MetaMask, але і на Ethereum. Салана мае падобную функцыю (signAllTransactions), і вядомы калекцыянер NFT толькі што стаў ахвярай такой афёры праз свой Фантомны кашалёк.

Псеўданім сузаснавальнік MonkeDAO, Ном, мінулай ноччу чирикнул пра тое, як яго кашалёк быў асушаны ў выніку атакі, калі ён узаемадзейнічаў са смарт-кантрактам, які, на яго думку, быў бяспечным для выкарыстання. Ном напісаў, што страціў каля 500 SOL (каля 20,200 XNUMX долараў) і NFT, у тым ліку адзін з Бізнэс малпаў Саланы, які зламыснік потым прадаецца за 197 XNUMX SOL ($ 7,736).