Denne MetaMask Ethereum-lommebokoppdateringen kan hjelpe mot NFT-svindel

Svindel med sosiale medier er boomer i NFT-området, med Twitter og Discord-brukere lurt til å koble kryptoen deres lommebøker til ondsinnet smarte kontrakter– og ha sine NFT-er og andre tokens ble sveipet som et resultat. Nå toppen Ethereum lommebok, metamask, har oppdatert grensesnittet sitt for å prøve å hjelpe brukere med å gjenkjenne og unngå slike svindel.

MetaMask ga ut en ny 10.18.0-oppdatering til lommeboken denne uken, som inkluderer en endring i måten programvaren presenterer en forespurt setApprovalForAll-tillatelse på. Å gi den tillatelsen tillater smart kontrakt—koden som driver NFT-er og desentraliserte apper— muligheten til å få tilgang til og overføre alle NFT-er og poletter i en lommebok.

Etter oppdateringen, som sikkerhetsfirmaet Wallet Guard bemerket på Twitter, MetaMask gjør det nå tydeligere at en smart kontrakt ber om brede tillatelser, inkludert tilgang til alle midler som holdes inne i lommeboken – en funksjon som kan brukes til såkalte «lommebokdrainer»-utnyttelser.

Skjermbilder lagt ut på MetaMask's GitHub programvareutviklingsarkiv vis en ny ledetekst som bruker en større skrift enn resten av grensesnittet. Eksempelteksten lyder: "Gi tillatelse til å få tilgang til hele din BAYC?" (eller Bored Ape Yacht Club), med en ekstra advarsel: "Ved å gi tillatelse gir du følgende konto tilgang til pengene dine."

MetaMask-programvareingeniør Alex Donesky skrev på GitHub 22. juni at "det haster noe med å få noe der ute siden denne metoden er så ofte brukt." Han la også til at "tidslinjen er komprimert", og innrømmet at det ikke var slik han ville nærme seg endringen hvis det var mer tid til å utvikle den.

Faktisk kommer oppdateringen etter et utslett av svindel som hovedsakelig spres via hackede sosiale mediekontoer. På våren, verifiserte kontoer av mange Twitter-brukere ble kapret og brukes til å dele svindelkoblinger inspirert av fremtredende NFT-prosjekter som Azuki og other~~POS=TRUNC, og stjele NFT-er og tokens til brukere som uforvarende koblet lommeboken til smarte kontrakter.

Nylig ble Twitter-kontoene til forskjellige NFT-prosjekter og bemerkelsesverdige samlere hacket for å dele lignende typer lenker, og fakturerte dem som en gratis NFT eller token drop. Slike svindel har også funnet sted via hackede Discord- og Instagram-kontoer. Det har ført til en debatt om skapere og prosjekter skal kompensere brukere som mister eiendeler via slike svindel.

Tidligere denne måneden ble NFT-slippregistreringsplattformen Premint påvirket av et hack til nettstedet som brukte funksjonen setApprovalForAll til å stjele en rekke verdifulle NFT-er og tokens fra berørte brukere. Til syvende og sist kompenserte firmaet brukere i størrelsesorden mer enn 500,000 XNUMX dollar ETH, og kjøpte tilbake og returnerte et par dyre NFT-samlerobjekter også.

"Brukergrensesnittet for de mest populære lommebøkene må forbedres drastisk for å gjøre det nesten umulig for noen å koble til en lommeboktapper," Premint-grunnlegger Brenden Mulligan fortalte dekryptere forrige uke. "Dette er et løsbart problem, men det er vanvittig at det er så lett å tømme en lommebok, og det er ikke flere advarsler på plass for å beskytte folk."

For å være tydelig, gir MetaMasks oppdatering ikke noen vurderingsanrop om kontrakten som brukere prøver å koble seg til, og kaller ikke spesifikt identifiserte svindel. Videre er det potensielt legitime bruksområder for setApprovalForAll-funksjonen for visse dapps, for eksempel på NFT-markedsplasser, som bare forvirrer brukeravgjørelsen ytterligere.

Likevel kan MetaMask-oppdateringen bidra til å minimere virkningen av svindel. Noen NFT-samlere som har falt for slike sosiale medier-svindeler har blitt anklaget for hensynsløst å godkjenne transaksjoner på grunn av FOMO og spekulativ vanvidd rundt NFT-er, og dette ekstra trinnet kan gi brukerne pause – og en mulighet til å revurdere handlingene sine.

Vi vil se om MetaMask tar denne nye funksjonen videre i fremtidige oppdateringer, samt om konkurrerende lommebøker vil ta i bruk lignende teknikker. Svindel er tross alt ikke begrenset til MetaMask-brukere, og heller ikke til Ethereum. Solana har en lignende funksjon (signAllTransactions), og en bemerkelsesverdig NFT-samler ble nettopp offer for en slik svindel via hans Fantom lommebok.

Den pseudonyme medgründer av MonkeDAO, Nom, i går kveld twitret om hvordan lommeboken hans ble tappet i et angrep da han samhandlet med en smart kontrakt som han mente var trygg å bruke. Nom skrev at han tapte rundt 500 SOL (omtrent $20,200 XNUMX) og NFT-er inkludert en fra Solana Monkey Business, som angriperen da selges for 197 XNUMX SOL ($ 7,736).