Бид, который вы не делали

Январь 2025. Холдер из Казани выставляет три CryptoPunks на Blur через флеш-сейл. Через несколько дней в Discord пишет «коллекционер» с «эксклюзивным предложением» через кастомный сайт «Blur Pro». Подпись, которую он просит, — Blur bid permit на 0,1 ETH за каждого Панка.

Биды принимаются мгновенно. Три Punk при флоре 38 ETH уходят за 0,1 ETH каждый. Потеря: 113,7 ETH, около 230 000 USD на тот момент.

Почему Blur bid permits — худшая поверхность атаки в NFT

Blur позволяет ставить биды через офчейн-подпись EIP-712. Продавец не отправляет транзакцию в сеть. Мошенник, заставивший вас подписать вредоносный bid permit, может затем принять этот бид сам — со своего кошелька — и опустошить NFT по «согласованной» цене.

Пять признаков

  • Сайт подписи — не blur.io. «Blur Pro», «Blur Plus», «Blur OTC» — всё фейк. Управление бидами только на blur.io.
  • Сумма бида ничтожна относительно флора. Реальные коллекционеры не пишут в личку с предложением 0,001 ETH за 30 ETH NFT.
  • Подпись показывает адрес контракта NFT. Если typed-data-промпт ссылается на контракт ваших Punks и крошечную цену — эксплойт происходит на ваших глазах.
  • Срочность в Discord-DM. «Предложение истекает через 10 минут» — чтобы пропустить шаг проверки.
  • Discord ID легко подделать. Мошенник может имитировать handle команды Blur с разницей в один символ.

Чек-лист восстановления

Если подписали: на blur.io/settings отзовите все pending-предложения. Переведите каждый NFT из пострадавшего кошелька на свежий. Отключите приём бидов полностью, пока не разберётесь в том, что подписали.

Постоянная установка

Обращайтесь с каждой подписью на маркетплейсе как с контрактом в реальной жизни: прочитайте его, назовите контрагента, цену, срок. Если хотя бы один из трёх пробелов не заполнен — отказывайтесь.