متامسک آپدیت شد؛ هشدار دسترسی دپ‌ها به تمام دارایی‌ها بزرگ‌تر نمایش داده می‌شود

در به‌روز رسانی اخیر کیف پول متامسک، کاربران در هنگام امضای مجوزهای خاص بهتر می‌توانند از محتوای آن مجوز مطلع شوند. پیش از این اگر قرارداد هوشمندی نیاز داشت تا به تمام دارایی‌ها دسترسی داشته باشد، هشدار مرتبط با آن در متامسک به خوبی نمایش داده نمیشد. از این رو کلاهبرداری‌های زیادی با سو استفاده از این ویژگی انجام میشد.

به گزارش میهن بلاکچین و به نقل از دیکریپت، کلاهبرداری‌های شبکه‌های اجتماعی در حوزه توکن‌های NFT در حال افزایش چشمگیری است. در این کلاهبرداری‌ها، کاربران فریب‌خورده شبکه‌های اجتماعی نظیر توییتر و دیسکورد، کیف پول کریپتو خود را به قراردادهای هوشمند مخرب متصل می‌کنند و بدین ترتیب توکن‌های NFT و سایر رمزارزهای خود را از دست می‌دهند. اکنون متامسک، کیف پول برتر اتریوم، رابط کاربری خود را به‌روزرسانی کرده است تا به کاربران کمک کند که این کلاهبرداری‌ها را بشناسند و از آنها اجتناب کنند.

متامسک هفته جاری نسخه جدید ۱۰.۱۸.۰ را عرضه کرده است که شامل تغییراتی در خصوص ارائه درخواست‌های مجوز setApprovalForAll است. ارائه این مجوز از جانب کاربران به قراردادهای هوشمند این قابلیت را ارائه می‌دهد تا قراردادهای هوشمند به تمام توکن‌های NFT و سایر توکن‌های موجود در کیف پول دسترسی داشته باشند و آنها را انتقال دهند.

پس از این به‌روزرسانی، طبق گزارش شرکت امنیتی Guard، اکنون متامسک درخواست قراردادهای هوشمند برای مجوزهای کلی و گسترده شامل دسترسی به سرمایه‌های موجود در کیف پول را مشخص‌تر و شفاف‌تر کرده است. از این عملکرد می‌توان برای اکسپلویت‌هایی به اسم «تخلیه کیف پول» (Wallet Drainer) استفاده کرد.

اسکرین‌شاتی که در مخزن توسعه نرم‌افزار گیت‌هاب متامسک منتشر شده است، پیغام جدیدی را نشان می‌دهد که دارای فونت بزرگتری نسبت به سایر نوشته‌های موجود در رابط کاربری است. در متن نمونه نوشته شده است «ارائه مجوز برای دسترسی به تمام توکن‌های BAYC شما». هشدار دیگری نیز وجود دارد که عنوان می‌کند «با ارائه مجوز، شما به حساب زیر امکان می‌دهید تا به سرمایه‌های شما دسترسی داشته باشد».

الکس دونسکی (Alex Donesky) مهندس نرم‌افزار متامسک در تاریخ ۲۲ ژوئن (۱ تیر) در گیت‌هاب نوشته بود که اصلاح این موضوع بسیار ضروری است، زیرا این روش به طور رایج و گسترده استفاده می‌شود. وی افزوده بود که زمانبندی فشرده‌ای برای این موضوع وجود داشت.

به‌روزرسانی کیف پول متامسک پس از چندین مورد کلاهبرداری عرضه شده است که از طریق حساب‌های هک‌شده شبکه‌های اجتماعی انجام شده‌اند. در فصل تابستان، حساب‌های تاییدشده چندین کاربر توییتر هک شد و به منظور انتشار لینک‌های کلاهبرداری از آنها استفاده شد. این لینک‌های کلاهبرداری مشابه با پروژه‌های معروف NFT نظیر آزوکی (Azuki) و آدرساید (Otherside) بودند و به سرقت توکن‌های NFT و سایر توکن‌های کاربرانی پرداخته‌اند که کیف پول خود را به قراردادهای هوشمند مذکور متصل کرده‌اند.

اخیرا نیز حساب‌های توییتر پروژه‌های NFT مختلف و کلکسیونرهای معروف هک شد و از آنها برای انتشار لینک‌های مشابه با کلاهبرداری‌های اشاره‌شده و فریب کاربران در خصوص ایردراپ رایگان توکن‌های NFT استفاده شد. این کلاهبرداری‌ها از طریق حساب‌های هک‌شده دیسکورد و اینستاگرام نیز صورت گرفته است. این کلاهبرداری‌ها باعث شده است که این بحث در جامعه کریپتو به وجود آید که آیا خالقان پروژه‌ها باید ضرر کاربران را جبران کنند یا خیر.

اوایل ماه جاری، پلتفرم Premint که مربوط به ثبت‌نام برای ایردراپ توکن‌های NFT است با هک وبسایت خود مواجه شد. در این هک، از تابع setApprovalForAll برای سرقت توکن‌های NFT و سایر رمزارزهای کاربران استفاده شد. سرانجام پلتفرم پریمینت بیش از ۵۰۰,۰۰۰ دلار اتر به عنوان جبران خسارت به کاربران پرداخت کرد.

برندن مولیگان (Brenden Mulligan) موسس پریمینت در این خصوص گفته است:

رابط کاربری کیف پول‌های محبوب باید به طور قابل توجهی بهبود یابند تا اتصال کیف پول به کلاهبرداری‌های تخلیه کیف پول غیرممکن شود. این مشکل قابل حل است، اما تخلیه کیف پول به این آسانی واقعا مزخرف است و هشدارهای بیشتر برای محافظت از کاربران وجود ندارد.

به‌روزرسانی اخیر کیف پول متامسک درباره قرارداد هوشمندی که کاربران در صدد اتصال به آن هستند، قضاوت و تصمیم‌گیری نمی‌کند و به طور دقیق‌تر، کلاهبرداری‌ها را شناسایی نمی‌کند. علاوه بر این، تابع setApprovalForAll برای برنامه‌های غیرمتمرکز دارای کاربردهای قانونی و معتبر است. در نتیجه، این شرایط باعث سردرگمی بیشتر کاربران می‌شود.

با این حال، به‌روزرسانی اخیر متامسک می‌تواند این کلاهبرداری‌ها را به حداقل برساند. بعضی از کلکسیونرهای توکن‌های NFT که هدف این کلاهبرداری‌ها قرار گرفته‌اند، به دلیل فومو (FOMO) پیرامون حوزه توکن‌های NFT، تراکنش‌های مذکور را تایید کرده‌اند. در نتیجه، مرحله اضافی که در به‌روزرسانی کیف پول متامسک به وجود آمده است می‌تواند مهلتی به کاربران ارائه دهد تا در خصوص اقدامات خود بازنگری کنند.

باید منتظر بمانیم و مشاهده کنیم که آیا متامسک این ویژگی جدید را در به‌روزرسانی‌های آینده خود ادامه می‌دهد و آیا سایر کیف پول‌ها نیز از این روش استفاده خواهند کرد یا خیر. کلاهبرداری‌ها فقط محدود به کاربران متامسک و اتریوم نمی‌شود. سولانا نیز تابع مشابهی به اسم signAllTransactions دارد و کلکسیونرهای NFT از طریق کیف پول فانتوم قربانی چنین کلاهبرداری‌ها شده‌اند.

هم‌بنیانگذار ناشناس MonkeDAO به اسم Nom در توییتر نوشته است هنگامی که با قرارداد هوشمندی که فکر می‌کرد ایمن باشد تعامل برقرار کرده است قربانی هک تخلیه کیف پول قرار گرفته و ۵۰۰ توکن SOL به ارزش تقریبی ۲۰,۲۰۰ دلار و توکن‌های NFT شامل یک توکن از Monkey Business را از دست داده است. سپس هکر این توکن NFT را به قیمت ۱۹۷ توکن SOL به ارزش ۷٬۷۳۶ دلار فروخته است.

• تغییر جدید کیف پول متامسک چیست؟

در به‌روز رسانی جدید متامسک، هنگام امضا تراکنش‌ها، اگر قرارداد هوشمندی که در حال ارتباط با آن هستید، اجازه دسترسی به دارایی‌های شما را درخواست کند، پیغامی در متامسک با فونت بزرگ‌تر نمایش داده می‌شود مبنی بر اینکه این اسمارت کانترکت، مجوز «setApprovalForAll» را لازم دارد. اگر پروژه مدنظر شما، به همچین تابعی احتیاج ندارد نمایش این پیغام هشداری برای جلوگیری از کلاهبرداری تلقی می‌شود.