Cette mise à jour du portefeuille MetaMask Ethereum peut aider à contrecarrer les escroqueries NFT
En bref
- Le portefeuille Ethereum MetaMask a été mis à jour pour que les utilisateurs soient mieux informés de ce qu’ils signent lorsqu’une certaine autorisation est demandée.
- Cette fonction est largement utilisée dans les escroqueries sur les réseaux sociaux qui ont vu les utilisateurs perdre des millions de dollars de NFT et de jetons.
Les escroqueries sur les réseaux sociaux sont en plein essor dans l’espace NFTavec des utilisateurs de Twitter et de Discord dupés pour connecter leur crypto portefeuilles à malveillant contrats intelligents– et ayant leur NFT et d’autres jetons glissés en conséquence. Maintenant le haut Ethereum porte monnaie, Métamasquea mis à jour son interface pour essayer d’aider les utilisateurs à reconnaître et à éviter de telles escroqueries.
MetaMask a publié cette semaine une nouvelle mise à jour 10.18.0 du portefeuille, qui inclut une modification de la façon dont le logiciel présente une autorisation setApprovalForAll demandée. L’octroi de cette autorisation permet au contrat intelligent—le code qui alimente les NFT et applications décentralisées—la possibilité d’accéder à tous les NFT et de les transférer jetons dans un portefeuille.
Suite à la mise à jour, en tant que société de sécurité Wallet Guard noté sur TwitterMetaMask indique désormais plus clairement qu’un contrat intelligent demande de larges autorisations, y compris l’accès à tous les fonds détenus dans le portefeuille, une fonction qui peut être utilisée pour les exploits dits de « draineur de portefeuille ».
.@Metamask 10.18.0 est sorti 🙌
Cette mise à jour inclut l’accent indispensable lorsqu’une transaction demande « Définir l’approbation pour tous »
Bravo à l’équipe d’avoir réglé ce problème rapidement pic.twitter.com/zWHVVPszzR
– Garde de portefeuille (@wallet_guard) 27 juillet 2022
Captures d’écran publiées sur MetaMask’s Référentiel de développement logiciel GitHub afficher une nouvelle invite qui utilise une police plus grande que le reste de l’interface. L’exemple de texte se lit comme suit : « Autoriser l’accès à l’ensemble de votre BAYC ? » (ou Club nautique Bored Ape), avec un avertissement supplémentaire : « En accordant l’autorisation, vous autorisez le compte suivant à accéder à vos fonds. »
L’ingénieur logiciel de MetaMask, Alex Donesky, a écrit sur GitHub le 22 juin qu ‘ »il est urgent de publier quelque chose car cette méthode est si couramment utilisée ». Il a également ajouté que « le calendrier est compressé » et a admis que ce n’était pas ainsi qu’il aborderait le changement s’il y avait plus de temps pour le développer.
En effet, la mise à jour fait suite à une série d’escroqueries qui se propagent principalement via des comptes de réseaux sociaux piratés. Au printemps, des témoignages vérifiés de nombreux Les utilisateurs de Twitter ont été piratés et utilisé pour partager des liens frauduleux inspirés de projets NFT importants comme Azuki et Autre côtéet voler les NFT et les jetons des utilisateurs qui ont involontairement connecté leurs portefeuilles aux contrats intelligents.
Plus récemment, les comptes Twitter de divers projets NFT et de collectionneurs notables ont été piratés pour partager des types de liens similaires, les facturant comme un NFT gratuit ou une chute de jeton. De telles escroqueries ont également eu lieu via des comptes Discord et Instagram piratés. Cela a conduit à un débat sur la question de savoir si les créateurs et les projets devrait indemniser les utilisateurs qui perdent des actifs via de telles escroqueries.
Plus tôt ce mois-ci, la plate-forme d’enregistrement de dépôt NFT Premint a été touchée par un piratage de son site Web qui utilisait la fonction setApprovalForAll pour voler un éventail de NFT et de jetons précieux des utilisateurs concernés. Au final, la firme a remboursé les utilisateurs à hauteur de plus de 500 000 $ d’ETHet a également racheté et rendu une paire d’objets de collection NFT coûteux.
« L’interface utilisateur des portefeuilles les plus populaires doit être considérablement améliorée pour qu’il soit presque impossible pour quelqu’un de se connecter à un égouttoir de portefeuille », a déclaré le fondateur de Premint, Brenden Mulligan. Raconté Décrypter La semaine dernière. « C’est un problème qui peut être résolu, mais c’est fou qu’il soit si facile de vider un portefeuille et qu’il n’y ait plus d’avertissements en place pour protéger les gens. »
Pour être clair, la mise à jour de MetaMask ne porte aucun jugement sur le contrat auquel les utilisateurs tentent de se connecter et n’appelle pas spécifiquement les escroqueries identifiées. De plus, il existe des utilisations potentiellement légitimes de la fonction setApprovalForAll pour certaines dapps, comme sur les places de marché NFT, ce qui ne fait que brouiller davantage la décision de l’utilisateur.
Néanmoins, la mise à jour de MetaMask pourrait aider à minimiser l’impact des escroqueries. Certains collectionneurs de NFT qui sont tombés dans de telles escroqueries sur les réseaux sociaux ont été accusés d’avoir approuvé des transactions de manière imprudente en raison du FOMO et de la frénésie spéculative autour des NFT, et cette étape supplémentaire pourrait donner aux utilisateurs une pause et une opportunité de reconsidérer leurs actions.
Nous verrons si MetaMask approfondira cette nouvelle fonctionnalité dans les futures mises à jour, ainsi que si les portefeuilles concurrents adopteront des techniques similaires. Les escroqueries ne se limitent pas aux utilisateurs de MetaMask, après tout, et pas non plus à Ethereum. Solana a une fonction similaire (signAllTransactions), et un collectionneur NFT notable vient d’être victime d’une telle arnaque via son portefeuille Phantom.
Rescue a Lost Monke: Post-mortem sur l’épuisement d’un portefeuille et la perte de mon PFP
Tout d’abord, ce fil n’est pas un appel aux dons. J’ai des fonds pour récupérer ce qui est perdu et bien que j’apprécie l’amour, votre argent serait mieux servi en aidant d’autres personnes !
— N◎M (🥐,🍌) (@TheOnlyNom) 28 juillet 2022
Le pseudonyme co-fondateur de MonkeDAO, Nom, hier soir tweeté sur la façon dont son portefeuille a été vidé lors d’une attaque lorsqu’il a interagi avec un contrat intelligent qu’il pensait pouvoir utiliser en toute sécurité. Nom a écrit qu’il avait perdu environ 500 SOL (environ 20 200 $) et des NFT, dont un de Solana Monkey Businessque l’attaquant a ensuite vendu pour 197 SOL (7 736 $).