介绍一种针对sudoswap的otc交易的新式骗局以及应对思路

如果觉得我的内容对你有帮助,欢迎关注我的推特账号和小红书账号:飞猪聊web3,获取更多web3的安全知识、基本技能和实用资讯

如果需要更具体、系统、有针对性的教程指导,欢迎大家私聊咨询哦

在之前介绍7只BAYC被盗案例中,我介绍过失主的第一只BAYC被骗是因为在sudoswap上交换了一只赝品,要破解这种骗局,我们需要在进行交易之前,预先检查对方用来交换的NFT合约或者代币合约地址与真正的合约地址是否一致。

因为sudoswap只是一个点对点交易平台,它不负责检查交易双方的交易物品是否是真实的,任何人都可以在sudoswap上创建交易,特别是各种伪造的蓝筹NFT的交易,如下图

我们点击NFT下方的os图标,就可以进入项目的os主页,查看这个NFT到底是不是真的蓝筹。上图的NFT点到os上一看就是一个典型的山寨项目,名字叫azuke而非蓝筹的azuki。

点击os图标左边的以太坊浏览器图标去查看NFT对应的合约地址来验证,起到的效果也是一样的。

这种骗术之前我们已经介绍过,这里就不再详细解释,今天我要重点给大家介绍一种利用针对使用sudoswap进行otc交易的新式骗术。

通常情况下,要在sudoswap上进行otc交易,设置交易的一方需要选择自己持有想要用来交换的资产去跟对方进行交换,自己没有的资产是无法选择的,但是目前sudoswap的bug在于:如果一方曾经持有过某种NFT并在sudoswap上设置过交易(即授权给sudoswap的管理合约)那么后续可以设置该系列的任意NFT进行交易(无需真实持有)。

截止本文发布,该bug目前并未被sudoswap修复,所以大家要在sudoswap上进行otc交易时一定要小心。

所以这个骗局是分为两个步骤,第一步,骗子找到行骗对象,并以自己并没持有的NFT来设置交易,失主此时会认真检查合约地址和os页面,发现确实是正牌NFT非赝品,于是会放心点击完成交易,但是由于骗子并未真实持有该NFT,所以该交易是无法完成的,只会白白浪费gas。

失主此时应该会非常奇怪于是会联系骗子,这时会正式进入真正的骗局,骗子会立刻道歉并重新设置链接,让失主再次尝试,而由于人的认知惯性,第二次往往不会再次认真检查合约,点击完成交易之后,一切就难以挽回了。

实际上,在我发文的当下,我还在sudoswap上发现了一个此类骗局:创建交易的人并不真实的拥有猴子,而设置完成交易的人的猴子是真实存在的。稍后我会尝试联系一下图中被骗子选中的行骗对象,提醒他小心骗子,大家如果有认识这位老兄的话,也请赶快提醒他提高警惕。

大家可以看到,创建交换3178这个交易的骗子地址尾号是adeb,而3178真实持有人地址尾号则是ebfb。

要防范此类骗局的手段其实也非常简单,只要在os上查看一下要用来交换的NFT的真实持有人地址是哪个,非此地址设置的交易一概忽略即可。

当然哪怕是真实持有人设置的交易,要完成交易之前也一定要注意核对NFT的合约地址,以免被有心人钻了空子。

区块链的暗黑森林中,任何一个操作都可能涉及大额资产损失,大家一定不要忽视资产安全,及早学习、未雨绸缪、防微杜渐,方为上策。

如果觉得我的内容对你有帮助,欢迎关注我的推特账号和小红书账号:飞猪聊web3,获取更多web3的安全知识、基本技能和实用资讯

Subscribe to littleflyingpiggy
Receive the latest updates directly to your inbox.
Mint this entry as an NFT to add it to your collection.
Verification
This entry has been permanently stored onchain and signed by its creator.