Pembaruan MetaMask Ethereum Wallet Ini Dapat Membantu Menggagalkan Penipuan NFT

Penipuan media sosial adalah booming di ruang NFT, dengan Twitter dan Pengguna Discord tertipu untuk menghubungkan crypto mereka dompet untuk jahat kontrak pintar—dan memiliki mereka NFT dan token lainnya digesek sebagai hasilnya. Sekarang bagian atas Ethereum dompet, MetaMask, telah memperbarui antarmukanya untuk mencoba dan membantu pengguna mengenali dan menghindari penipuan semacam itu.

MetaMask merilis pembaruan 10.18.0 baru ke dompet minggu ini, yang mencakup perubahan cara perangkat lunak menyajikan izin setApprovalForAll yang diminta. Memberikan izin itu memungkinkan kontrak pintar—kode yang menggerakkan NFT dan aplikasi terdesentralisasi—kemampuan untuk mengakses dan mentransfer semua NFT dan token dalam dompet.

Mengikuti pembaruan, sebagai firma keamanan Wallet Guard dicatat di Twitter, MetaMask sekarang memperjelas bahwa kontrak cerdas meminta izin luas, termasuk akses ke dana apa pun yang disimpan di dalam dompet—fungsi yang dapat digunakan untuk apa yang disebut eksploitasi “penguras dompet”.

Tangkapan layar diposting ke MetaMask's Repositori pengembangan perangkat lunak GitHub tampilkan prompt baru yang menggunakan font yang lebih besar daripada antarmuka lainnya. Contoh teks berbunyi, “Berikan izin untuk mengakses semua BAYC Anda?” (atau Klub Kapal Pesiar Kera Bosan), dengan peringatan tambahan yang berbunyi, “Dengan memberikan izin, Anda mengizinkan akun berikut untuk mengakses dana Anda.”

Insinyur Perangkat Lunak MetaMask Alex Donesky menulis di GitHub pada 22 Juni bahwa "ada beberapa urgensi untuk mendapatkan sesuatu di luar sana karena metode ini sangat umum digunakan." Dia juga menambahkan bahwa "garis waktu dikompresi," dan mengakui bahwa itu bukan bagaimana dia akan mendekati perubahan jika ada lebih banyak waktu untuk mengembangkannya.

Memang, pembaruan datang setelah serangkaian penipuan yang terutama menyebar melalui akun media sosial yang diretas. Di musim semi, akun terverifikasi dari banyak Pengguna Twitter dibajak dan digunakan untuk membagikan tautan penipuan yang terinspirasi oleh proyek NFT terkemuka seperti Azuki dan Sisi lain, dan mencuri NFT dan token pengguna yang tanpa disadari menghubungkan dompet mereka ke kontrak pintar.

Baru-baru ini, akun Twitter dari berbagai proyek NFT dan kolektor terkenal diretas untuk membagikan jenis tautan yang serupa, menagihnya sebagai NFT atau token drop gratis. Penipuan semacam itu juga terjadi melalui akun Discord dan Instagram yang diretas. Ini telah menyebabkan perdebatan tentang apakah pencipta dan proyek harus memberi kompensasi kepada pengguna yang kehilangan aset melalui penipuan tersebut.

Awal bulan ini, platform pendaftaran drop NFT Premint terkena dampak peretasan ke situs webnya yang menggunakan fungsi setApprovalForAll untuk mencuri berbagai NFT dan token yang berharga dari pengguna yang terpengaruh. Pada akhirnya, perusahaan mengganti uang pengguna dengan nada lebih dari $500,000 senilai ETH, dan membeli kembali serta mengembalikan sepasang barang koleksi NFT yang mahal.

“Antarmuka pengguna untuk dompet paling populer perlu ditingkatkan secara drastis agar hampir mustahil bagi seseorang untuk terhubung ke penguras dompet,” pendiri Premint Brenden Mulligan mengatakan Dekripsi minggu lalu. “Ini adalah masalah yang dapat dipecahkan, tetapi sangat gila karena sangat mudah menguras dompet dan tidak ada lagi peringatan untuk melindungi orang.”

Untuk lebih jelasnya, pembaruan MetaMask tidak membuat keputusan apa pun tentang kontrak yang coba dihubungkan oleh pengguna, dan tidak secara khusus menyebut penipuan yang diidentifikasi. Selain itu, ada kemungkinan penggunaan yang sah untuk fungsi setApprovalForAll untuk dapps tertentu, seperti di pasar NFT, yang hanya semakin mengacaukan keputusan pengguna.

Namun, pembaruan MetaMask dapat membantu meminimalkan dampak penipuan. Beberapa kolektor NFT yang terjerumus dalam penipuan media sosial seperti itu telah dituduh secara sembrono menyetujui transaksi karena FOMO dan hiruk-pikuk spekulatif seputar NFT, dan langkah ekstra ini mungkin memberi pengguna jeda—dan kesempatan untuk mempertimbangkan kembali tindakan mereka.

Kami akan melihat apakah MetaMask membawa fitur baru ini lebih jauh di pembaruan mendatang, serta apakah dompet pesaing akan mengadopsi teknik serupa. Penipuan tidak terbatas pada pengguna MetaMask, dan juga tidak untuk Ethereum. beranda memiliki fungsi serupa (signAllTransactions), dan kolektor NFT terkenal baru saja menjadi korban penipuan semacam itu melalui miliknya dompet hantu.

Nama samaran salah satu pendiri MonkeDAO, Nom, tadi malam tweeted tentang bagaimana dompetnya terkuras dalam serangan ketika dia berinteraksi dengan kontrak pintar yang dia pikir aman untuk digunakan. Nom menulis bahwa dia kehilangan sekitar 500 SOL (sekitar $20,200) dan NFT termasuk satu dari Bisnis Monyet Solana, yang kemudian penyerang dijual seharga 197 SOL ($ 7,736).