No, los NFT lanzados desde el aire no pueden vaciar tu billetera de Cripto

Es temporada de estafadores en el mundo de los NFT, pero en medio de las preocupaciones válidas sobre hackeos y exploits, la desinformación se está propagando rápidamente.

A medida que los tokens no fungibles (NFT) se vuelven cada vez más populares, la demografía de los usuarios de muchas plataformas de Criptomonedas está cambiando fundamentalmente a medida que una nueva población, quizás menos centrada en la tecnología, aprende cómo contratos inteligentes trabajar.

La proliferación de usuarios relativamente novatos y dinero nuevo en el mercado ha provocado un auge similar en estafas de Discord, intentos de phishing y “tijeras” – todos vectores de ataque con los que los usuarios de Cripto más experimentados pueden estar familiarizados, pero de los que los coleccionistas de NFT a menudo escuchan hablar por primera vez.

La prevalencia de amenazas reales también ha provocado un auge de desinformación sobre lo que es y lo que no es un riesgo.

Sigue leyendo: Lecciones del robo de NFT de Nifty Gateway: Ni tus llaves, ni tu arte

Desinformación sobre NFT

En un tuit viral del lunes, el coleccionista de NFT “AJ” afirmó haber perdido una colección de NFT valorada en más de 50.000 dólares en un hackeo.

AJ escribió que no había ingresado su frase semilla en ningún sitio, que no había interactuado con interfaces falsas ni había caído en estafas comunes, y que la única forma en que pudo haber perdido su colección fue mediante permisos maliciosos asociados con NFT enviados por airdrop a su dirección, o NFT enviados a su dirección gratuitamente. AJ no respondió a una Request de comentarios al cierre de esta edición.

El incidente dio lugar al rumor de que aceptar ofertas por NFT lanzados desde el aire o ponerlos a la venta, dos opciones que requieren la aprobación de un contrato, podría provocar que se vaciaran las billeteras.

Sin embargo, en entrevistas con CoinDesk, un par de desarrolladores dicen que la descripción de los Eventos de AJ es altamente improbable, si no imposible, y que la seguridad operativa estándar (como verificar dos veces que los correos electrónicos provengan de las fuentes adecuadas y usar una billetera de hardware) es la mejor manera de avanzar.

Desaprobación del contrato

La clave de la teoría de AJ sobre cómo le vaciaron la billetera es una hazaña de contrato inteligente que bien puede ser imposible.

"Muchos NFT que has negociado en OpenSea tienen la función 'setApprovalForAll' establecida en 'true' para los contratos comerciales de OpenSea, a menos que hayas hecho todo lo posible para obtener esa aprobación", dijo el desarrollador y analista de NFT Nate Alex a CoinDesk en Twitter, y agregó:

“Es una aprobación global para una colección determinada, por lo que si tienes 100 NFT de Art Block Factory e intercambias ONE de ellos, los otros 99 siguen estando aprobados para el intercambio y, por lo tanto, solo requieren que firmes un mensaje para incluir más (no enviar una [transacción])”.

Sin embargo, para aprovechar ese vector de ataque todavía se necesitarían permisos especiales.

“Para aprovechar la aprobación abierta de OpenSea en las colecciones de todos, necesitarías acceder a su contrato de mercado a través de los controles de propiedad de dicho contrato, o acceder para manipular su interfaz y lograr que los usuarios firmen mensajes falsos”, agregó Alex.

De hecho, los detectives en cadena descubrieron que la propia dirección de Ethereum de AJ aceptó una oferta baja por su NFT de Damien Hirst, y como tuiteó el desarrollador seudónimo de Solidity, Foobar, no había un contrato elaborado responsable de transferir sus tenencias; su propia dirección fue la instigadora.

"LOOKS que probablemente ingresó su clave privada en un sitio de phishing o tenía malware en su computadora", dijo Foobar a CoinDesk.

Si bien ha habido conceptualmenteataques similares En el pasado, con contratos de tokens fungibles, como RUNE, que dependían de una verificación del origen de la transacción en lugar de una verificación del remitente del mensaje, Foobar dijo que es un caso extremo que no debería aplicarse a los NFT.

Sigue leyendo: El token RUNE de Thorchain se desploma tras su segundo exploit en dos semanas

"Cualquier ERC-721 Esa verificación de 'tx.origin' para aprobaciones podría ser vulnerable. Pero no creo haber visto nada parecido —añadió Foobar—.

Ambos desarrolladores advirtieron a los usuarios que tengan cuidado con los correos electrónicos de phishing e imploraron a los coleccionistas que consideren invertir en billeteras de hardware.