Attenzione alle firme sul wallet!
Molti sono stati scammati e si sono trovati senza i propri NFT senza neanche riuscire a capire il perchè! Cosa avevano fatto di sbaglaito? Cosa poteva essere successo?
Un membro del consiglio ci ha fornito un utile suggerimento/guida. Grazie Live-Ale#8944!
1) Sapevi che firmare una firma senza gas può comportare il trasferimento dei tuoi NFT?
Il thread seguente ti aiuterà a capire come ciò sia possibile e cosa cercare per mantenere i tuoi NFT al sicuro!
2) Iniziamo con una firma sicura da firmare. Questo è il metodo personal_sign utilizzato per autenticare un utente. Metamask aggiunge un prefisso a questa firma che le impedisce di essere una transazione valida e quindi di tenerti al sicuro.
3) Il personal_sign può essere vago come nel caso di X2Y2 che utilizza questo metodo come verifica della firma quando elenca un NFT.
Qui stai firmando un hash dei parametri dell'elenco. Questo non può creare una transazione da solo, ma hai già dato loro la piena approvazione per elencare.
4) Questo è un anti-pattern in termini di sicurezza del portafoglio poiché ti aspetteresti di vedere i dettagli dell'elenco su Metamask al momento della firma. Generalmente non firmeresti qualcosa che non puoi leggere, ma X2Y2 è un mercato affidabile.
5) Successivamente abbiamo le firme TypeData: utilizzate dai marketplace per creare le tue inserzioni. Dovresti firmarlo solo se ti trovi su un dominio attendibile poiché un truffatore può facilmente indurti a elencare i tuoi NFT per 0eth.
6) Com'è possibile?
Useremo OpenSea come esempio. Quando si elenca per la prima volta su OpenSea, si dà l'approvazione del contratto Seaport per elencare i propri NFT. I truffatori possono sfruttare questo per creare un annuncio per te con la tua approvazione e poiché non c'è gas coinvolgere le persone presumono che sia sicuro!
7) Un modo per individuare i malintenzionati è esaminare i dati prima di firmare. Non è necessario capire tutto, ma puoi iniziare guardando i campi come "token" con i link che puoi aprire sulla blockchain e vedere quali NFT fanno parte della transazione.
8) L'ultimo esempio dovrebbe essere ovvio, ogni volta che viene utilizzato il metodo eth_sign metamask ti darà un avviso rosso che indica che questo è pericoloso.
Stai lontano da questo a meno che tu non sappia veramente cosa stai facendo.
9) Spero che questo thread aiuti la comunità a mantenere i propri beni al sicuro: la blockchain può intimidire ma non è poi così male una volta capito cosa stai facendo, quindi leggi sempre cosa stai firmando!
10) Ho cercato di mantenere il thread semplice, quindi se hai domande lascia un commento o mandami un dm.
https://twitter.com/LiveAleHabbo/status/1620870160847613952
Molti sono stati scammati e si sono trovati senza i propri NFT senza neanche riuscire a capire il perchè! Cosa avevano fatto di sbaglaito? Cosa poteva essere successo?
Un membro del consiglio ci ha fornito un utile suggerimento/guida. Grazie Live-Ale#8944!
1) Sapevi che firmare una firma senza gas può comportare il trasferimento dei tuoi NFT?
Il thread seguente ti aiuterà a capire come ciò sia possibile e cosa cercare per mantenere i tuoi NFT al sicuro!
2) Iniziamo con una firma sicura da firmare. Questo è il metodo personal_sign utilizzato per autenticare un utente. Metamask aggiunge un prefisso a questa firma che le impedisce di essere una transazione valida e quindi di tenerti al sicuro.
3) Il personal_sign può essere vago come nel caso di X2Y2 che utilizza questo metodo come verifica della firma quando elenca un NFT.
Qui stai firmando un hash dei parametri dell'elenco. Questo non può creare una transazione da solo, ma hai già dato loro la piena approvazione per elencare.
4) Questo è un anti-pattern in termini di sicurezza del portafoglio poiché ti aspetteresti di vedere i dettagli dell'elenco su Metamask al momento della firma. Generalmente non firmeresti qualcosa che non puoi leggere, ma X2Y2 è un mercato affidabile.
5) Successivamente abbiamo le firme TypeData: utilizzate dai marketplace per creare le tue inserzioni. Dovresti firmarlo solo se ti trovi su un dominio attendibile poiché un truffatore può facilmente indurti a elencare i tuoi NFT per 0eth.
6) Com'è possibile?
Useremo OpenSea come esempio. Quando si elenca per la prima volta su OpenSea, si dà l'approvazione del contratto Seaport per elencare i propri NFT. I truffatori possono sfruttare questo per creare un annuncio per te con la tua approvazione e poiché non c'è gas coinvolgere le persone presumono che sia sicuro!
7) Un modo per individuare i malintenzionati è esaminare i dati prima di firmare. Non è necessario capire tutto, ma puoi iniziare guardando i campi come "token" con i link che puoi aprire sulla blockchain e vedere quali NFT fanno parte della transazione.
8) L'ultimo esempio dovrebbe essere ovvio, ogni volta che viene utilizzato il metodo eth_sign metamask ti darà un avviso rosso che indica che questo è pericoloso.
Stai lontano da questo a meno che tu non sappia veramente cosa stai facendo.
9) Spero che questo thread aiuti la comunità a mantenere i propri beni al sicuro: la blockchain può intimidire ma non è poi così male una volta capito cosa stai facendo, quindi leggi sempre cosa stai firmando!
10) Ho cercato di mantenere il thread semplice, quindi se hai domande lascia un commento o mandami un dm.
https://twitter.com/LiveAleHabbo/status/1620870160847613952
