Deze MetaMask Ethereum Wallet-update kan NFT-zwendel helpen tegengaan

Oplichting via sociale media is: booming in de NFT-ruimte, met Twitter en Discord-gebruikers gedupeerd in het verbinden van hun crypto portefeuilles kwaadaardig slimme contracten—en hun . hebben NFT's en andere tokens die als resultaat zijn weggevaagd. Nu de top Ethereum portemonnee, MetaMask, heeft zijn interface bijgewerkt om te proberen gebruikers te helpen dergelijke oplichting te herkennen en te vermijden.

MetaMask heeft deze week een nieuwe 10.18.0-update voor de portemonnee uitgebracht, die een wijziging bevat in de manier waarop de software een gevraagde setApprovalForAll-machtiging presenteert. Door die toestemming te verlenen, kan de slim contract—de code die NFT's aandrijft en gedecentraliseerde apps—de mogelijkheid om toegang te krijgen tot alle NFT's en deze over te dragen en penningen in een portemonnee.

Na de update, als beveiligingsbedrijf Wallet Guard genoteerd op Twitter, MetaMask maakt nu duidelijker dat een slim contract om brede machtigingen vraagt, inclusief toegang tot alle fondsen die in de portemonnee worden bewaard - een functie die kan worden gebruikt voor zogenaamde 'wallet drainer'-exploits.

Screenshots geplaatst op MetaMask's GitHub-opslagplaats voor softwareontwikkeling toon een nieuwe prompt die een groter lettertype gebruikt dan de rest van de interface. De voorbeeldtekst luidt: "Toestemming geven voor toegang tot al uw BAYC?" (of Bored Ape Yachtclub), met een aanvullende waarschuwing: "Door toestemming te verlenen, geeft u het volgende account toegang tot uw geld."

MetaMask Software Engineer Alex Donesky schreef op 22 juni op GitHub dat "er enige urgentie is om iets naar buiten te brengen, aangezien deze methode zo vaak wordt gebruikt." Hij voegde er ook aan toe dat de "tijdlijn gecomprimeerd is", en gaf toe dat hij de verandering niet zou aanpakken als er meer tijd was om het te ontwikkelen.

De update komt inderdaad na een golf van oplichting die voornamelijk wordt verspreid via gehackte sociale media-accounts. In het voorjaar geverifieerde rekeningen van talrijke Twitter-gebruikers werden gekaapt en gebruikt om zwendellinks te delen die zijn geïnspireerd door prominente NFT-projecten zoals Azuki en Andere kant, en de NFT's en tokens te stelen van gebruikers die onbewust hun portemonnee aan de slimme contracten hebben gekoppeld.

Meer recentelijk werden de Twitter-accounts van verschillende NFT-projecten en opmerkelijke verzamelaars gehackt om vergelijkbare soorten links te delen, waarbij ze werden gefactureerd als een gratis NFT- of token-drop. Dergelijke oplichting heeft ook plaatsgevonden via gehackte Discord- en Instagram-accounts. Het heeft geleid tot een discussie over de vraag of makers en projecten gebruikers moeten compenseren die activa verliezen via dergelijke oplichting.

Eerder deze maand werd het NFT-dropregistratieplatform Premint getroffen door een hack op zijn website die de functie setApprovalForAll gebruikte om een reeks waardevolle NFT's en tokens stelen van getroffen gebruikers. Uiteindelijk vergoedde het bedrijf gebruikers voor een bedrag van: meer dan $ 500,000 aan ETH, en kocht en keerde ook een paar dure NFT-verzamelobjecten terug.

"De gebruikersinterface voor de meest populaire portemonnees moet drastisch worden verbeterd om het bijna onmogelijk te maken voor iemand om verbinding te maken met een portemonnee-drainer", oprichter Brenden Mulligan van Premint vertelde decoderen vorige week. "Dit is een oplosbaar probleem, maar het is belachelijk dat het zo gemakkelijk is om een ​​portemonnee leeg te pompen en dat er niet meer waarschuwingen zijn om mensen te beschermen."

Voor alle duidelijkheid, de update van MetaMask doet geen uitspraak over het contract waarmee gebruikers verbinding proberen te maken, en noemt niet specifiek geïdentificeerde oplichting. Bovendien zijn er potentieel legitieme toepassingen voor de setApprovalForAll-functie voor bepaalde dapps, zoals op NFT-marktplaatsen, wat de gebruikersbeslissing alleen maar verder vertroebelt.

Toch kan de MetaMask-update de impact van oplichting helpen minimaliseren. Sommige NFT-verzamelaars die zijn gevallen voor dergelijke oplichting op sociale media, zijn beschuldigd van het roekeloos goedkeuren van transacties vanwege FOMO en speculatieve razernij rond NFT's, en deze extra stap kan gebruikers een pauze geven - en een kans geven om hun acties te heroverwegen.

We zullen zien of MetaMask deze nieuwe functie verder brengt in toekomstige updates, en of concurrerende portefeuilles vergelijkbare technieken zullen gebruiken. Oplichting is immers niet beperkt tot MetaMask-gebruikers en ook niet tot Ethereum. solarium heeft een vergelijkbare functie (signAllTransactions), en een opmerkelijke NFT-verzamelaar werd zojuist het slachtoffer van zo'n oplichterij via zijn Phantom portemonnee.

het pseudoniem mede-oprichter van MonkeDAO, Nom, gisteravond tweeted over hoe zijn portemonnee leeg was geraakt tijdens een aanval toen hij een slim contract gebruikte waarvan hij dacht dat het veilig was om te gebruiken. Nom schreef dat hij ongeveer 500 SOL (ongeveer $ 20,200) en NFT's verloor, waaronder een van Solana Monkey Business, die de aanvaller vervolgens verkocht voor 197 SOL ($ 7,736).