Бід, якого ви не робили

Січень 2025. Холдер з Києва виставляє три CryptoPunks на Blur через флеш-сейл. Через кілька днів у Discord пише «колекціонер» з «ексклюзивною пропозицією» через кастомний сайт «Blur Pro». Підпис, який він просить, — Blur bid permit на 0,1 ETH за кожного Панка.

Біди приймаються миттєво. Три Punk при флорі 38 ETH ідуть за 0,1 ETH кожен. Втрата: 113,7 ETH, близько 230 000 USD на той момент.

Чому Blur bid permits — найгірша поверхня атаки в NFT

Blur дозволяє ставити біди через офчейн-підпис EIP-712. Продавець не надсилає транзакцію в мережу. Шахрай, що змусив вас підписати шкідливий bid permit, може потім прийняти цей бід сам — зі свого гаманця — і спустошити NFT за «погодженою» ціною.

П'ять ознак

  • Сайт підпису — не blur.io. «Blur Pro», «Blur Plus», «Blur OTC» — все фейк. Управління бідами лише на blur.io.
  • Сума біда мізерна відносно флору. Реальні колекціонери не пишуть в особисті з пропозицією 0,001 ETH за 30 ETH NFT.
  • Підпис показує адресу контракту NFT. Якщо typed-data-промпт посилається на контракт ваших Punks і мізерну ціну — експлойт відбувається на ваших очах.
  • Терміновість у Discord-DM. «Пропозиція минає через 10 хвилин» — щоб пропустити крок перевірки.
  • Discord ID легко підробити. Шахрай може імітувати handle команди Blur з різницею в один символ.

Чек-лист відновлення

Якщо підписали: на blur.io/settings відкличте всі pending-пропозиції. Переведіть кожен NFT з постраждалого гаманця на свіжий. Вимкніть прийом бідів повністю, поки не розберетеся в тому, що підписали.

Постійна установка

Поводьтеся з кожним підписом на маркетплейсі як з контрактом у реальному житті: прочитайте його, назвіть контрагента, ціну, термін. Якщо хоча б один з трьох пробілів не заповнений — відмовляйтеся.