🟡 Почему нужно всегда юзать «кошельки-горелки»?
В продолжение темы безопасности, о которой мы уже не раз говорили, поговорим о методе скамануть вас , который пришел к с метой на degen коллекции. Как-то в чате спросили, почему нужно и на преминте регистрироваться с левых кошельков, ведь сайт проверенный не одним гемом)
Давайте разберемся.
«degen meta» — это текущая тенденция в NFT, когда команды запускают проекты без роадмапа, бесплатно, за пару дней, не преследуя особых целей.
Это стало модным после успеха goblintownwtf и еще, потому что желающих минтить за деньги почти не осталось.
Все такие проекты строятся на том, что вы, не несете никаких финансовых потерь, т.к. минт бесплатный.
Но мы то знаем что это не всегда так.
Обычно все начинается с использования вполне законных сервисов, таких как PREMINT , для создания ажиотажа и распределения мест в WL. Premint не проверяет проекты, которые используют их сервис, но многие не знают об этом и думают, что эти лотереи одобрены и проверены.
Что еще хуже, есть функция, которая позволяет создателям лотереи устанавливать определенные требования,например: «регистрация возможна только для холедров Moonbirds». Это тоже не имеет никакого одобрения от Moonbirds, но у неопытного пользователя может вызвать чувство доверия.
Вот вы зарегистрировались, победили и когда дело доходит до минта, вы привязываете кошелек при входе на сайте коллекции, нажимаете на кнопку «mint», при этом у вас на кошельке все так же лежит moonbids, подписываете «бесплатную» транзакцию и ваши NFT крадут.
Как это работает и в какой момент вас обманули?
Примером будет проект AllThingBegins, на твиттер которого подписано более 30к людей. И «благодаря» этому проекту уже угнали пару moonbirds.
Если вы зайдете на их сайт, то увидите, что он выглядит как типичный сайт созданный с небольшими усилиями. Тем не менее, этот сайт совсем не типичен, если заглянуть в код.
Во-первых, вы заметите, что они копируют код для сайта с goblintown.wtf .
Во-вторых, если взглянуть JavaScript на странице сайта, там есть файл с именем signupxx44777.js. Вот в нем и кроется магия. Как только вы подключите свой кошелек, он начнет активно сканировать все в вашем браузере.
Что он делает:
— Просканирует содержимое вашего кошелька, адрес которого вы оставили подключив MM при входе на сайт.
— Использует доступный всем API opensea для определения вашего самого дорогого NFT.
— Идентифицирует его и найдет информацию о его смарт-контракте.
— Как только вы нажмете «MINT», будет сгенерирована транзакция, взаимодействующая с контрактом того самого, ВАШЕГО дорогого NFT. Функция с помощью которой это удается сделать называется «setApprovalForAll».
При вызове транзакции, пройдите на вкладку HEX/DATA и если видите там эту функцию, отменяйте ее - это скам.
Таким образом, вы думаете что подписываете транзакцию для бесплатного минта, а вместо этого вы фактически предоставили мошеннику разрешение на перевод ваших NFT из вашего же кошелька.
Алгоритм этого хака сейчас встречается все чаще. Неудивительно, если это работа одних и тех же людей.
Помните: используйте для фриминтов ТОЛЬКО кошельки-горелки, тем более что создаются они за минуту, а перекинуть на них сумму для апрува на преминте стоит сейчас дешево.
Если вы считаете что попали на подозрительный сайт и подписали мутный доступ, обязательно отмените доступ к вашему кошельку например через revoke.cash или переведите их как можно скорее на холодный кошелек.