「我在 Discord、OpenSea 上面『被詐騙、被社群操弄、被駭』了,損失了三個 Bored Ape、四個 0n1 Force,以及三個 World of Women NFT。」美式足球遊戲 Fan Controlled Football (FCF) 創辦人 Sohrob Farudi 在推特上絕望地表示。
Farudi 聲稱,他丟失大約 250 個 ETH 的價值,只因為他被誤導暴露了 Google 擴充插件的 MetaMask QR Code。
I was scammed / socially manipulated / hacked on @Discord and @OpenSea and lost three @BoredApeYC, four @0n1Force, and three @worldofwomennft totally roughly 250 eth in value by getting tricked into exposing the Metamask QR Code in the Chrome Browser Extension. I’ve never felt pic.twitter.com/aiaENpwLVP
— Sohrob Farudi 🍌 (@sohrobf) August 25, 2021
NFT 被騙:MetaMask 惹的禍
「我們希望 MeatMask 可以改變這個糟糕的 QR Code 功能,因為它完全沒有必要,而且是個明顯的漏洞。」Farudi 表示。這一切都從我買了 BAKC #648 開始… (註:BAKC,Bored Ape Kennel Club,是擁有 Bored Ape 的人可獲得的寵物 NFT)
他表示,在 OpenSea 上遇到無法將 NFT 上架的問題。於是他就到 BORED APE YACHT CLUB (簡稱:BAYC) 的 Discord 支援頻道發問,包括成員 Gargamel 與 NoSass。他接到 NoSass 的私訊,訊息中包含另一個群組連結。當時沒有想得太多,因此突然同時有四個人共同處理一位用戶問題的事情並沒有起疑心。對方開始用各種問題轉移 Farudi 轉移焦點。
Farudi 表示自己當時已經完全放下心防,並且以為這就是 BAYC 的尊榮享受。他被要求透過分享螢幕來,試圖解決問題。那些「幫助人員」表示,MetaMask 因近期更新可能造成問題,他們建議 Farudi 重新同步化手機版與網頁插件版的 MetaMask。由於他不熟悉這些操作,就跟隨著「幫助人員」的指導,進入進階設定的頁面、透過手機按下同步化按鈕等。
在按下那個按鈕後,MetaMask 會出現警告訊息,表示將會出現機密 QR Code,可以取用你的帳號,告誡用戶切勿分享給任何人。Farudi 認為,雖然不會有任何幫助人員會叫你這麼做,但他認為那些人是 BAYC 的「創辦人」,所以他忽略了這些事情…
怪罪 MetaMask 設計不好
總之,Farudi 認為是 MetaMask 搞砸了一切。因為在前段說的警告出現後,下一個畫面就直接顯示了那個 QR Code,並顯示:「請注意沒有人能在你掃描的時候看到這個 QR Code。」他認為,MetaMask 不應該這麼快就顯示 QR Code,而且警語也不夠鮮明。在 NFT 被盜後,他表示 OpenSea 已經儘速凍結遭盜 NFT 的拍賣,但仍有一些買到贓物的社群朋友。
原來是冒名詐騙
Farudi 最後終於發現,原來在 BAYC Discord 幫助頻道,與他聯絡的「創辦人」,都只是冒名的詐騙份子。他表示,Discord 社群存在漏洞的事情,需要讓更多人知道。而他自己也會記取教訓,並在元宇宙的世界中變得更堅強。