در بهروز رسانی اخیر کیف پول متامسک، کاربران در هنگام امضای مجوزهای خاص بهتر میتوانند از محتوای آن مجوز مطلع شوند. پیش از این اگر قرارداد هوشمندی نیاز داشت تا به تمام داراییها دسترسی داشته باشد، هشدار مرتبط با آن در متامسک به خوبی نمایش داده نمیشد. از این رو کلاهبرداریهای زیادی با سو استفاده از این ویژگی انجام میشد.
به گزارش دیپ مانی و به نقل از دیکریپت، کلاهبرداریهای شبکههای اجتماعی در حوزه توکنهای NFT در حال افزایش چشمگیری است. در این کلاهبرداریها، کاربران فریبخورده شبکههای اجتماعی نظیر توییتر و دیسکورد، کیف پول کریپتو خود را به قراردادهای هوشمند مخرب متصل میکنند و بدین ترتیب توکنهای NFT و سایر رمزارزهای خود را از دست میدهند. اکنون متامسک، کیف پول برتر اتریوم، رابط کاربری خود را بهروزرسانی کرده است تا به کاربران کمک کند که این کلاهبرداریها را بشناسند و از آنها اجتناب کنند.
متامسک هفته جاری نسخه جدید ۱۰.۱۸.۰ را عرضه کرده است که شامل تغییراتی در خصوص ارائه درخواستهای مجوز setApprovalForAll است. ارائه این مجوز از جانب کاربران به قراردادهای هوشمند این قابلیت را ارائه میدهد تا قراردادهای هوشمند به تمام توکنهای NFT و سایر توکنهای موجود در کیف پول دسترسی داشته باشند و آنها را انتقال دهند.
پس از این بهروزرسانی، طبق گزارش شرکت امنیتی Guard، اکنون متامسک درخواست قراردادهای هوشمند برای مجوزهای کلی و گسترده شامل دسترسی به سرمایههای موجود در کیف پول را مشخصتر و شفافتر کرده است. از این عملکرد میتوان برای اکسپلویتهایی به اسم «تخلیه کیف پول» (Wallet Drainer) استفاده کرد.
اسکرینشاتی که در مخزن توسعه نرمافزار گیتهاب متامسک منتشر شده است، پیغام جدیدی را نشان میدهد که دارای فونت بزرگتری نسبت به سایر نوشتههای موجود در رابط کاربری است. در متن نمونه نوشته شده است «ارائه مجوز برای دسترسی به تمام توکنهای BAYC شما». هشدار دیگری نیز وجود دارد که عنوان میکند «با ارائه مجوز، شما به حساب زیر امکان میدهید تا به سرمایههای شما دسترسی داشته باشد».
الکس دونسکی (Alex Donesky) مهندس نرمافزار متامسک در تاریخ ۲۲ ژوئن (۱ تیر) در گیتهاب نوشته بود که اصلاح این موضوع بسیار ضروری است، زیرا این روش به طور رایج و گسترده استفاده میشود. وی افزوده بود که زمانبندی فشردهای برای این موضوع وجود داشت.
بهروزرسانی کیف پول متامسک پس از چندین مورد کلاهبرداری عرضه شده است که از طریق حسابهای هکشده شبکههای اجتماعی انجام شدهاند. در فصل تابستان، حسابهای تاییدشده چندین کاربر توییتر هک شد و به منظور انتشار لینکهای کلاهبرداری از آنها استفاده شد. این لینکهای کلاهبرداری مشابه با پروژههای معروف NFT نظیر آزوکی (Azuki) و آدرساید (Otherside) بودند و به سرقت توکنهای NFT و سایر توکنهای کاربرانی پرداختهاند که کیف پول خود را به قراردادهای هوشمند مذکور متصل کردهاند.
اخیرا نیز حسابهای توییتر پروژههای NFT مختلف و کلکسیونرهای معروف هک شد و از آنها برای انتشار لینکهای مشابه با کلاهبرداریهای اشارهشده و فریب کاربران در خصوص ایردراپ رایگان توکنهای NFT استفاده شد. این کلاهبرداریها از طریق حسابهای هکشده دیسکورد و اینستاگرام نیز صورت گرفته است. این کلاهبرداریها باعث شده است که این بحث در جامعه کریپتو به وجود آید که آیا خالقان پروژهها باید ضرر کاربران را جبران کنند یا خیر.
اوایل ماه جاری، پلتفرم Premint که مربوط به ثبتنام برای ایردراپ توکنهای NFT است با هک وبسایت خود مواجه شد. در این هک، از تابع setApprovalForAll برای سرقت توکنهای NFT و سایر رمزارزهای کاربران استفاده شد. سرانجام پلتفرم پریمینت بیش از ۵۰۰,۰۰۰ دلار اتر به عنوان جبران خسارت به کاربران پرداخت کرد.
برندن مولیگان (Brenden Mulligan) موسس پریمینت در این خصوص گفته است:
رابط کاربری کیف پولهای محبوب باید به طور قابل توجهی بهبود یابند تا اتصال کیف پول به کلاهبرداریهای تخلیه کیف پول غیرممکن شود. این مشکل قابل حل است، اما تخلیه کیف پول به این آسانی واقعا مزخرف است و هشدارهای بیشتر برای محافظت از کاربران وجود ندارد.
بهروزرسانی اخیر کیف پول متامسک درباره قرارداد هوشمندی که کاربران در صدد اتصال به آن هستند، قضاوت و تصمیمگیری نمیکند و به طور دقیقتر، کلاهبرداریها را شناسایی نمیکند. علاوه بر این، تابع setApprovalForAll برای برنامههای غیرمتمرکز دارای کاربردهای قانونی و معتبر است. در نتیجه، این شرایط باعث سردرگمی بیشتر کاربران میشود.
با این حال، بهروزرسانی اخیر متامسک میتواند این کلاهبرداریها را به حداقل برساند. بعضی از کلکسیونرهای توکنهای NFT که هدف این کلاهبرداریها قرار گرفتهاند، به دلیل فومو (FOMO) پیرامون حوزه توکنهای NFT، تراکنشهای مذکور را تایید کردهاند. در نتیجه، مرحله اضافی که در بهروزرسانی کیف پول متامسک به وجود آمده است میتواند مهلتی به کاربران ارائه دهد تا در خصوص اقدامات خود بازنگری کنند.
باید منتظر بمانیم و مشاهده کنیم که آیا متامسک این ویژگی جدید را در بهروزرسانیهای آینده خود ادامه میدهد و آیا سایر کیف پولها نیز از این روش استفاده خواهند کرد یا خیر. کلاهبرداریها فقط محدود به کاربران متامسک و اتریوم نمیشود. سولانا نیز تابع مشابهی به اسم signAllTransactions دارد و کلکسیونرهای NFT از طریق کیف پول فانتوم قربانی چنین کلاهبرداریها شدهاند.
همبنیانگذار ناشناس MonkeDAO به اسم Nom در توییتر نوشته است هنگامی که با قرارداد هوشمندی که فکر میکرد ایمن باشد تعامل برقرار کرده است قربانی هک تخلیه کیف پول قرار گرفته و ۵۰۰ توکن SOL به ارزش تقریبی ۲۰,۲۰۰ دلار و توکنهای NFT شامل یک توکن از Monkey Business را از دست داده است. سپس هکر این توکن NFT را به قیمت ۱۹۷ توکن SOL به ارزش ۷٬۷۳۶ دلار فروخته است.
- تغییر جدید کیف پول متامسک چیست؟
در بهروز رسانی جدید متامسک، هنگام امضا تراکنشها، اگر قرارداد هوشمندی که در حال ارتباط با آن هستید، اجازه دسترسی به داراییهای شما را درخواست کند، پیغامی در متامسک با فونت بزرگتر نمایش داده میشود مبنی بر اینکه این اسمارت کانترکت، مجوز «setApprovalForAll» را لازم دارد. اگر پروژه مدنظر شما، به همچین تابعی احتیاج ندارد نمایش این پیغام هشداری برای جلوگیری از کلاهبرداری تلقی میشود.