Denna MetaMask Ethereum Wallet-uppdatering kan hjälpa till att förhindra NFT-bedrägerier

Bedrägerier i sociala medier är blomstrar i NFT-utrymmet, med Twitter och Discord-användare lurade att koppla ihop deras krypto plånböcker till illvilliga smarta kontrakt-och ha sina NFT och andra tokens svepte som ett resultat. Nu toppen Ethereum plånbok, MetaMask, har uppdaterat sitt gränssnitt för att försöka hjälpa användare att känna igen och undvika sådana bedrägerier.

MetaMask släppte en ny 10.18.0-uppdatering till plånboken denna vecka, som inkluderar en ändring av hur programvaran presenterar en begärd setApprovalForAll-behörighet. Att bevilja det tillståndet tillåter smart kontrakt—koden som driver NFT:er och decentraliserade appar—förmågan att komma åt och överföra alla NFT:er och token i en plånbok.

Efter uppdateringen, som säkerhetsföretaget Wallet Guard noteras på Twitter, MetaMask gör det nu tydligare att ett smart kontrakt kräver breda behörigheter, inklusive tillgång till alla medel som finns i plånboken - en funktion som kan användas för så kallade "wallet drainer" exploater.

Skärmdumpar publicerade på MetaMask's GitHub programvaruutvecklingsförråd visa en ny prompt som använder ett större teckensnitt än resten av gränssnittet. Exempeltexten lyder: "Ge tillstånd att komma åt alla dina BAYC?" (eller Bored Ape Yacht Club), med ytterligare en varningsläsning, "Genom att ge tillstånd tillåter du följande konto att få tillgång till dina pengar."

MetaMasks mjukvaruingenjör Alex Donesky skrev på GitHub den 22 juni att "det är brådskande att få ut något eftersom den här metoden är så vanligt förekommande." Han tillade också att "tidslinjen är komprimerad" och medgav att det inte var hur han skulle närma sig förändringen om det fanns mer tid att utveckla den.

Faktum är att uppdateringen kommer efter ett utslag av bedrägerier som främst sprids via hackade sociala mediekonton. Under våren, verifierade konton för många Twitter-användare kapades och används för att dela blufflänkar inspirerade av framstående NFT-projekt som Azuki och Andra sidan, och stjäl NFT:er och tokens från användare som omedvetet kopplade sina plånböcker till de smarta kontrakten.

På senare tid hackades Twitter-kontona för olika NFT-projekt och anmärkningsvärda samlare för att dela liknande typer av länkar, och fakturerade dem som en gratis NFT eller token drop. Sådana bedrägerier har också skett via hackade Discord- och Instagram-konton. Det har lett till en debatt om kreatörer och projekt bör kompensera användarna som förlorar tillgångar genom sådana bedrägerier.

Tidigare den här månaden påverkades NFT drop-registreringsplattformen Premint av ett hack på sin webbplats som använde funktionen setApprovalForAll för att stjäla en mängd värdefulla NFT:er och tokens från berörda användare. I slutändan ersatte företaget användarna till beloppet av över 500,000 XNUMX USD i ETH, och köpte tillbaka och returnerade ett par dyra NFT-samlarföremål också.

"Användargränssnittet för de mest populära plånböckerna måste förbättras drastiskt för att göra det nästan omöjligt för någon att ansluta till en plånboksavskiljare," Premints grundare Brenden Mulligan berättade Avkryptera förra veckan. "Det här är ett lösbart problem, men det är helt galet att det är så lätt att tömma en plånbok och att det inte finns fler varningar för att skydda människor."

För att vara tydlig, gör MetaMasks uppdatering inget bedömningssamtal om kontraktet som användare försöker ansluta till, och ropar inte specifikt ut identifierade bedrägerier. Dessutom finns det potentiellt legitima användningsområden för setApprovalForAll-funktionen för vissa dapps, till exempel på NFT-marknadsplatser, vilket bara förvirrar användarens beslut ytterligare.

Ändå kan MetaMask-uppdateringen hjälpa till att minimera effekten av bedrägerier. Vissa NFT-samlare som har fallit för sådana bedrägerier i sociala medier har anklagats för att vårdslöst godkänna transaktioner på grund av FOMO och spekulativ frenesi kring NFT, och detta extra steg kan ge användarna en paus – och en möjlighet att ompröva sina handlingar.

Vi kommer att se om MetaMask tar den här nya funktionen vidare i framtida uppdateringar, samt om konkurrerande plånböcker kommer att anta liknande tekniker. Bedrägerier är trots allt inte begränsade till MetaMask-användare och inte heller till Ethereum. Solana har en liknande funktion (signAllTransactions), och en anmärkningsvärd NFT-samlare blev just offer för en sådan bluff via sin Fantom plånbok.

Den pseudonyma medgrundare av MonkeDAO, Nom, i går kväll Tweeted om hur hans plånbok tömdes i en attack när han interagerade med ett smart kontrakt som han trodde var säkert att använda. Nom skrev att han förlorade cirka 500 SOL (cirka $20,200 XNUMX) och NFTs inklusive en från Solana Monkey Business, som angriparen då säljs för 197 SOL ($ 7,736).