MetaMask đã phát hành bản cập nhật 10.18.0 mới cho ví trong tuần này, bao gồm thay đổi cách phần mềm trình bày quyền setApprovalForAll được yêu cầu. Việc cấp quyền đó cho phép hợp đồng thông minh — mã cung cấp năng lượng cho NFT và các ứng dụng phi tập trung — khả năng truy cập và chuyển tất cả NFT và mã thông báo trong ví.
Sau bản cập nhật, như công ty bảo mật Wallet Guard đã lưu ý trên Twitter, MetaMask hiện làm rõ ràng hơn rằng một hợp đồng thông minh đang yêu cầu các quyền rộng, bao gồm quyền truy cập vào bất kỳ khoản tiền nào được giữ trong ví — một chức năng có thể được sử dụng cho cái gọi là “wallet drainer – trình rút ví”.
Ảnh chụp màn hình được đăng lên kho phát triển phần mềm GitHub của MetaMask hiển thị lời nhắc mới sử dụng phông chữ lớn hơn phần còn lại của giao diện. Văn bản ví dụ có nội dung “Cấp quyền truy cập vào tất cả BAYC của bạn?”, Kèm theo nội dung cảnh báo bổ sung, “Bằng cách cấp quyền, bạn đang cho phép tài khoản sau truy cập vào tiền của mình”.
Kỹ sư phần mềm của MetaMask, Alex Donesky, đã viết trên GitHub vào ngày 22 tháng 6 rằng “có một số khẩn cấp để có được thứ gì đó ra khỏi đó vì phương pháp này được sử dụng rất phổ biến”. Ông ấy cũng nói thêm rằng “dòng thời gian đã được nén” và thừa nhận rằng đó không phải là cách ông ấy tiếp cận sự thay đổi nếu có thêm thời gian để phát triển nó.
Thật vậy, bản cập nhật được đưa ra sau một loạt các trò gian lận chủ yếu lây lan qua các tài khoản mạng xã hội bị tấn công. Vào mùa xuân, các tài khoản đã được xác minh của nhiều người dùng Twitter đã bị tấn công và được sử dụng để chia sẻ các liên kết lừa đảo lấy cảm hứng từ các dự án NFT nổi bật như Azuki và Otheride, đồng thời đánh cắp NFT và mã thông báo của những người dùng vô tình kết nối ví của họ với các hợp đồng thông minh.
Gần đây hơn, các tài khoản Twitter của các dự án NFT khác nhau và các nhà sưu tập đáng chú ý đã bị tấn công để chia sẻ các loại liên kết tương tự, thanh toán chúng dưới dạng NFT miễn phí hoặc giảm mã thông báo. Những trò gian lận như vậy đã diễn ra thông qua tài khoản Discord và Instagram bị tấn công. Nó đã dẫn đến một cuộc tranh luận về việc liệu người sáng tạo và dự án có nên bồi thường cho những người dùng bị mất tài sản do những trò gian lận như vậy hay không.
Để rõ ràng, bản cập nhật của MetaMask không đưa ra bất kỳ lời phán xét nào về hợp đồng mà người dùng đang cố gắng kết nối và cũng không chỉ ra một cách cụ thể các trò gian lận đã được xác định. Hơn nữa, có những cách sử dụng hợp pháp tiềm năng đối với hàm setApprovalForAll cho một số dapp nhất định, chẳng hạn như trên các thị trường NFT, điều này chỉ làm xáo trộn thêm quyết định của người dùng.
Chúng ta sẽ xem liệu MetaMask có phát triển thêm tính năng mới này trong các bản cập nhật trong tương lai hay không, cũng như liệu các ví cạnh tranh có áp dụng các kỹ thuật tương tự hay không.
Theo: coincu
Khuyến cáo: Thông tin trên bài viết này chỉ mang tính tham khảo, không có bất kỳ lời khuyên nào về mua bán, đầu tư. Bạn hãy tự nghiên cứu trước khi thực hiện bất kỳ hình thức đầu tư nào.
