本文梳理自Web3创作者工具应用Sprise和Pally.gg联合创始人MontanaWong在个人社交媒体平台上的观点,BlockBeats对其整理翻译如下:「degenmeta」是NFT领域的当前趋势,团队以FreeMint的形式启动项目,很少或直接不提供项目路线图,这种形式被诸如goblintown等项目成功带火。这种形式在熊市中很好,因为FreeMint起码不会亏本。子们利用这一点。他们现在不再创建虚假项目来取你的ETH,而是营造FOMO气氛诱导你参加免费的「degen」Mint项目,你授予他们权限转走你钱包里NFT。通常他们首先使用Premint等合法服务,为他们的预售名单抽奖。Premint不会对使用他们服务的项目做任何审查,但很多人不知道这一点,还以为这些抽奖活动「有Premint背书」。
动态 | 匈牙利央行:警惕有关提供Libra“预售”的活动:金色财经报道,匈牙利央行——匈牙利国家银行(MNB)发布警告称,一些外国互联网门户网站(如Uplibra、Calibra和Buylibracoins等)最近声称将提供Facebook尚未推出的加密货币Libra的“预售”,而买家可以将“购买”的加密货币储存在实际上并不存在的电子钱包中。者们还承诺,任何新加入该预售活动的用户都可以获得免费的加密货币。据悉,客户在通过社交媒体信息访问多个克隆门户网站后,这些网站可能会把他们的数据、照片和密码提供给犯罪分子。(BBJ)[2020/2/7]
声音 | 中央财大邓建鹏:对于STO的炒作 要提高警惕:今日,中国著名区块链+法学研究专家、中央财经大学邓建鹏教授表示,lCO在中国本身即有违规或者违法犯罪的嫌疑,STO源自ICO,实质上是代币的证券化发行,更是与中国现行法规与监管政策抵触。监管者提出驱离STO行为,乃是应有之意。区块链创业者做好业务合规经营,是企业经营立命之本。另外,目前STO这个词在国内这么火热,难免一些创业者或者商业机构有过度炒作的嫌疑。因为STO在当前中国未来的三到五年,都不可能有任何的法律上的生存的空间,所以对这种行为的炒作,要提高警惕。[2018/12/1]
更糟糕的是,Premint允许抽奖创建者提出某些要求,例如「必须持有1枚MoonbirdsNFT」才能参加。这可以在不经过原项目方同意的情况下,搞出假装得到官方认可的虚假抽奖活动。「白名单预售」时你仍然会用持有高价值NFT的钱包参与铸造,因为最初参与抽奖需要用到它们。这就是你的NFT会被盗的地方,让我们看看这是如何进行的。今天这一局出现了一个新版本「aLLtHiNgbEgiNs」,导致几枚高价值的MoonbirdsNFT被盗。如果你去他们的网站,它看起来就像一个典型的摆烂FreeMint项目,带有连接钱包和Mint选项。不过一旦你深入了解,就会发现这个网站绝不是这么简单。
币圈大佬提醒你在投资时要警惕几个方面:今天在纽约举行的区块链无国界峰会上,众多大佬对于筛查市场机会时要警惕什么迹象这一问题表达了自己的看法。Celsius创始人Alex Mashinsky表示,警惕短期投资项目,作为投资者最重要的是如何能对平台建立长期的健康管理,对于一些公司短期投资的行为应该警惕,并认为并不是创建社区的正确方式。Pantera Capital投资副总Lauren Stephanian表示,区块链公司管理层要有技术团队,很多区块链公司并没有思考自己的架构,他们在更多程度上是参考被人的架构,这是值得警惕的地方。Block VC创始合伙人Kevin Hsu表示,区块链是技术支撑的产业,很多初创公司的动力来源有可能本末倒置,他们并没有对区块链有一个自己的见解,只是把区块链当成筹集资金的一种方式,并没有认识到区块链发展的真正目的。[2018/5/13]
可以注意到的第一件事,就是他们网站的大量代码都复制自goblintown网站。
其次,如果你查看页面上的JavaScript,有一个名为signupxx44777.js的文件,这就是漏洞所在。
连接钱包后,该代码就会开始运作,字面上写着「drainNFTs」。然而该代码的真正目的是:1.浏览你地址里的内容2.使用OpenSea的API来确定哪个是你最值钱的NFT3.识别出你最值钱的NFT并找到它的智能合约信息4.一旦你点击「mint」,它就会产生一笔交易与你最值钱的NFT的合约发生交互,这一setApprovalForAll交易会授予子转走你NFT的权限因此,尽管你认为你只是执行了一次典型的FreeMint交易,但实际上你已经允许子从你的钱包中转走那些你最值钱的NFT,简单粗暴。总之,这一漏洞利用的工作原理如下:1.围绕免费的DegenMint项目进行炒作,使用Premint等合法工具诱使高价值钱包参与2.创建一个带有恶意JavaScript的网站,扫描你的钱包以获得最高价值的NFT3.虚假的Mint选项,实际不会产生一笔Mint交易,而会创建一笔授予子转走你NFT权限的恶意交易4.用相同的代码在不同的「项目」下重复步骤1-3这些局中大部分可能都是一个人搞出来的,一定要注意安全。如果你认为自己受到了这些局之一的影响,你可以通过revoke.cash撤销对所有值钱NFT的访问权限,或尽快将它们转移至硬件钱包。原地址
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。