一名从事日内交易十年的渣渣交易员。微信:feikeju
一名从事日内交易十年的渣渣交易员。微信:feikeju
Subscribe to FF@Livermore
Subscribe to FF@Livermore
Share Dialog
Share Dialog
<100 subscribers
<100 subscribers
最近没怎么更新因为一直在学习链上合约的一些技术,
但是各种原因交织在一起昨天被钓鱼网站欺骗了一次,
今天做一个回顾总结博大家一乐。
昨天Art Gobblers首发,
为了搜索一些关于项目的信息资料,
想着去官方的推特查看些资料,
于是用推特搜索栏查找官推:
“Art Gobblers”
但是我搜索的不是全称,
在搜索栏输入了“Art Gob”自动推荐了一个,
这个推特的Logo、名字和官推一摸一样,
看到刚发了Mint的链接并做了置顶,
网址是 artgobblers.one 我点了进去,
打开后网站的风格也和官网一样,
当时988/1000这个位置是会变动的数字,
我知道Art Gobblers的白名单Mint是4点开始,
但是看着Mint数量正在不断的增加,
我想着Freemint难道提前开始了?
直接链接了钱包后点击了mint,
在授权之前我核对了假推特的数据,
粉丝数量、发布的内容和用户评论数量都很多,
于是放心的点了授权了下去,
但是第二次的授权时要SetApprovalForAll的签名我心中咯噔了,
因为我很少参与NFT项目,但是知道这个授权的风险,
并且不久前我才通过推特链接进入过一个钓鱼网站,
但是这个网站欺骗的比较直接,
连接后就发送转移资产的授权保持了警惕躲避一劫。
还发了这条推文让其它朋友保持警惕谨防上当。
此时心里比较矛盾,在犹豫到底签不签,
心里还在想难道Mint还需要钱包的权限才行?
做了很多思想斗争,
抱着侥幸心理幻想着万一mint成功后的利润,
以及被盗后应该如何进行弥补,
大概犹豫了三分钟左右,因为有倒计时存在给人一种紧迫感,
还是被利润冲昏头脑决定犯险一试,
并且我也没白就是纯粹想Mint一下看看最终是什么结果。
授权签名后发现什么没任何变化,赶紧找到浏览器自带的取消授权工具,
但是当时并没有找到新增加的授权,
想着应该没啥事但是以防万一还是准备把其它币先转回交易所,
正当转币的时候提示Gas不足,
我才发现ETH已经被全部转走了,
也就是间隔了30秒的时间,
这个时候的心情真的不怎么美丽,侮辱性极强。
又找了其它的解除授权的网站revoke.cash查看授权,
仍然没有找到恶意授权的存在,
分析了一下区块链浏览器的交易记录
第一笔授权调用了一个opensea旧合约的Upgrade To参数,
这个看起来没什么问题,出问题的是第二笔授权的交易,
在想是不是opensea有什么漏洞,
于是网络搜索了一下确实opensea的旧合约容易被黑客利用,
查询了一下黑客钱包的地址再去看了我的授权,
发现是我Mimic NFT代理合约的管理地址被黑客地址替换了,
怪不得最初的时候找不到多余的授权,
原来是对我现有合约的授权地址进行了替换。
但是黑客是怎么转走我ETH的还搞不懂,
正常被盗可能钱包直接被清空了,
也许利用opensea的漏洞可能有某些限制。
事情到此也就告一段落了,
黑客的种种手段非常高明,
无论是推特的包装、官网的模仿、偷盗的手段,
李逵和李鬼真的不易分清。
还把人性弱点运用的淋漓尽致,
面对金钱诱惑的时候人真的是低智的,
希望大家不会遇到这种事,
养成良好的用钱包的习惯。
2022年11月1日21时45分
Mirror:mirror.xyz/450000.eth
推特:@feikeju
微信:feikeju
最近没怎么更新因为一直在学习链上合约的一些技术,
但是各种原因交织在一起昨天被钓鱼网站欺骗了一次,
今天做一个回顾总结博大家一乐。
昨天Art Gobblers首发,
为了搜索一些关于项目的信息资料,
想着去官方的推特查看些资料,
于是用推特搜索栏查找官推:
“Art Gobblers”
但是我搜索的不是全称,
在搜索栏输入了“Art Gob”自动推荐了一个,
这个推特的Logo、名字和官推一摸一样,
看到刚发了Mint的链接并做了置顶,
网址是 artgobblers.one 我点了进去,
打开后网站的风格也和官网一样,
当时988/1000这个位置是会变动的数字,
我知道Art Gobblers的白名单Mint是4点开始,
但是看着Mint数量正在不断的增加,
我想着Freemint难道提前开始了?
直接链接了钱包后点击了mint,
在授权之前我核对了假推特的数据,
粉丝数量、发布的内容和用户评论数量都很多,
于是放心的点了授权了下去,
但是第二次的授权时要SetApprovalForAll的签名我心中咯噔了,
因为我很少参与NFT项目,但是知道这个授权的风险,
并且不久前我才通过推特链接进入过一个钓鱼网站,
但是这个网站欺骗的比较直接,
连接后就发送转移资产的授权保持了警惕躲避一劫。
还发了这条推文让其它朋友保持警惕谨防上当。
此时心里比较矛盾,在犹豫到底签不签,
心里还在想难道Mint还需要钱包的权限才行?
做了很多思想斗争,
抱着侥幸心理幻想着万一mint成功后的利润,
以及被盗后应该如何进行弥补,
大概犹豫了三分钟左右,因为有倒计时存在给人一种紧迫感,
还是被利润冲昏头脑决定犯险一试,
并且我也没白就是纯粹想Mint一下看看最终是什么结果。
授权签名后发现什么没任何变化,赶紧找到浏览器自带的取消授权工具,
但是当时并没有找到新增加的授权,
想着应该没啥事但是以防万一还是准备把其它币先转回交易所,
正当转币的时候提示Gas不足,
我才发现ETH已经被全部转走了,
也就是间隔了30秒的时间,
这个时候的心情真的不怎么美丽,侮辱性极强。
又找了其它的解除授权的网站revoke.cash查看授权,
仍然没有找到恶意授权的存在,
分析了一下区块链浏览器的交易记录
第一笔授权调用了一个opensea旧合约的Upgrade To参数,
这个看起来没什么问题,出问题的是第二笔授权的交易,
在想是不是opensea有什么漏洞,
于是网络搜索了一下确实opensea的旧合约容易被黑客利用,
查询了一下黑客钱包的地址再去看了我的授权,
发现是我Mimic NFT代理合约的管理地址被黑客地址替换了,
怪不得最初的时候找不到多余的授权,
原来是对我现有合约的授权地址进行了替换。
但是黑客是怎么转走我ETH的还搞不懂,
正常被盗可能钱包直接被清空了,
也许利用opensea的漏洞可能有某些限制。
事情到此也就告一段落了,
黑客的种种手段非常高明,
无论是推特的包装、官网的模仿、偷盗的手段,
李逵和李鬼真的不易分清。
还把人性弱点运用的淋漓尽致,
面对金钱诱惑的时候人真的是低智的,
希望大家不会遇到这种事,
养成良好的用钱包的习惯。
2022年11月1日21时45分
Mirror:mirror.xyz/450000.eth
推特:@feikeju
微信:feikeju
No activity yet