本文梳理自Arrow 創始人thomasg.eth 在個人社交媒體平台上的觀點,律動BlockBeats 對其整理翻譯如下:
律動注,由於ENS 錢包中存有超1 億美元的ETH,thomasg.eth 被詐騙團伙盯上,個人資產險些全被騙走。
在過去兩週的時間裡,我成為了一個高級詐騙團伙的目標,這幾乎讓我損失了所有的ETH。我非常幸運能夠毫髮無損地躲過這一劫,所以想把事件的經過分享給大家。
我是Arrow 的創始人(律動注,這是一個致力於構建開源空中的士平台的DAO)。我們仍處於早期階段,專注於發展團隊,因此對貢獻者保持著持開放的態度,如果他們願意提供幫助,我們不會拒絕任何人。
在兩週前,一個叫做「heckshine」的用戶加入了我們的Discord 並開始介紹自己。據他自己介紹,他目前在育碧工作,提供3D 設計和動畫方面的服務。該消息的語言有些奇怪,但我只是將其歸咎於語言障礙。
Heckshine 還有另一位對Arrow 非常感興趣的朋友,她正在開展一個元宇宙項目,而且姐夫還是波音公司的副總裁,夠厲害吧?
在接下來的幾天裡,heckshine 開始為Arrow 製作各種動畫項目,包括為網站設計了一個動漫英雄形象、製作一些飛機效果圖等,他對項目的奉獻精神給我們留下了深刻的印象。
與此同時,heckshine 還聯繫了他的朋友Linh,Linh 顯然也對我們的項目很感興趣。 heckshine 讓我給她發一封電子郵件,從他告訴我的情況來看,Linh 似乎就是他那個有波音人脈的朋友。
Linh 給我回了一封非常體面的電子郵件,告訴了我她正在做的的元宇宙項目Space Falcon。我其實對這個項目並提不起興趣,但我也不是一個真正的NFT 玩家,所以沒有任何理由排斥她的想法。
果然,她告訴了我她與波音及Wisk 的人脈聯繫,並提供了一些關於Arrow 的想法。 Linh 似乎很渴望幫助我們與波音建立潛在的合作夥伴關係。同樣,她的電子郵件語氣也有點奇怪,不過我還是認為這是語言障礙。
在將話題轉移到Discord 後,我們開始更多地談論各自的背景,並最終決定讓她作為項目的顧問。她主動提供指導和建議,幫助我們解決合作夥伴關係方面的問題,我也為她的支持感到興奮。
後來,她告訴了我更多關於Space Falcon 的信息,我感覺這個NFT 項目和其他那些追求「快速致富」的項目差不多。但鑑於她為Arrow 所做的貢獻,我也必須展示一些支持作為回報。
Space Falcon 使用的是叫做Armstrong Wrapped Ether 的Token(aWETH),我偷懶沒有具體研究,但它的基本邏輯是用戶租用NFT,持有者獲得相應被動收入。我告訴她這個模式聽起來很不錯,也樂意隨時了解最新情況。 Linh 同意和我保持聯繫,然後我便開始繼續做其他的事情了。
我私底下去查了Space Falcon,它似乎是Solana 上一個相當受歡迎的遊戲項目,我也在團隊頁面上看到了Linh 的名字。
在接下來的10 天時間裡,heckshine 每天都在Discord 中保持著活躍度,拿出了一些超高質量的效果圖,雖然不是特別適航,但他非常高興自己能提供幫助,於是我想可以通過一些迭代來改進這些設計。
在整個過程中,heckshine 表現出的投入和真誠我怎麼形容都不為誇張,我們在個人願景上也基本一致,我很高興他對我們正在做的事情如此熱情。
直到昨天,事情開始變得有些蹊蹺。
當時Heckshine 和我一直在討論我們的v1 飛機的設計圖。他獲得了整個配置的參數,並準備在早上起床後開始渲染。但Linh 突然告訴我Wisk 的高管同意邀請我去他們的Workshop 參觀。
這事現在來其實很荒謬,但當時我沒有理由不相信Linh,他為我們做的努力真的讓我們很感動。我們定下了具體的行程,這位Wisk 高管也通過電子郵件向我發出了正式的邀請。
聊著聊著,Linh 就開始跟我說他們剛啟動的Staking 應用程序,並提議將NFT 寄給我。事情發展到這一步,我至少也應該為她們提供一些體驗上的支持了吧?
於是我讓她把NFT 寄到我的熱錢包裡,但是她卻以NFT 價值很高為由把它寄到了我的主要錢包裡,我當時覺得也沒什麼大不了的。
她向我發送了一些關於Staking 應用的說明,網站頁面看起來也很不錯,上面提示了三項交易:批准NFT 、批准aWETH 和Staking。批准aWETH 這一步似乎有點奇怪,但因為我沒有aWETH,所以不擔心。
接下來就是為什麼我覺得自己非常幸運的原因:由於這是一個新項目,所以我決定在Staking 之前將NFT 轉移到一個新的ETH 地址,以防萬它被別人利用。 Staking 流程非常順利,我也從中獲得了收益。
於是我將自己的體驗反饋給了Linh,然後她又提議向我發送一些其他的NFT,但希望我將其存入自己的主賬戶以幫助他們的社區進一步增長。
這有點煩人,不過我還是同意了。但在我告訴Linh 自己在將NFT 存入主賬戶之前會通讀合約後,她開始變得咄咄逼人,這時我開始意識到事情有點不對頭了。
我趕緊打開etherscan 看了下之前質押的NFT 的地址,結果整個身體瞬間變得冰涼……
我批准的aWETH 不是Armstrong WETH,而是Aave 的Aave WETH。如果我在自己的主錢包上完成了批准,我將失去自己所有的ETH…
我馬上屏蔽了這兩個人,他們在意識到問題不對後也開始刪除自己的Discord 消息。作為某種最後的嘗試,Linh 向我發送了0.2 ETH 來支付gas 費,要求我退還她們的NFT,雖然我不知道這是什麼邏輯……
後來我進一步研究了批准花費aWETH 的合同,發現了一個真正可怕的功能。這些詐騙者能通過下圖中的功能從我的賬戶中轉移任意數量的aWETH。
我最終在etherscan 找到了他們的資金來源——100 枚ETH 的Tornado Cash 存款。這些傢伙資金雄厚,而且超級精明。
我不得不假設他們聘請了一個負責Heckshine 大部分工作的3D 設計承包商。據我所知,他們還專門為這個騙局建立了定制合同和前端。
那SpaceFalcon 又是怎麼回事?據我所知,這是Solana 上的一個真實項目,但真正的項目使用的是spacefalcon.io,而騙子們用的是“.com”。所以之前一直與我互動的「Linh」可能只是真Linh 本人的冒頂者。
通過此事,我也總結了一些經驗教訓:
1. 批准Token 可能非常危險,一定要非常謹慎地對待它們。如果可能的話,盡量限制批准。
2. 騙子現在越來越聰明。在此之前,我遇到過最好的騙局基本上是「您好,我是技術支持,請分享您的私鑰以便我們提供幫助。」
3. 始終做好查驗工作,無論你對一個項目有多麼信任。這些人花了兩週時間專門研究針對我的具體弱點,讓我差點上當。
儘管我非常幸運,能夠以最小的傷害度過這一切,但大家還是要多加小心!