Azuki联合创始人:OpenSea白名单合约存在漏洞

NFT项目Azuki联合创始人2PMFLOW.ETH在推特上表示,他注意到最近在OpenSea上出现问题,即:有人能使用可变proxyRegistryAddress成为NFT合约白名单。对于正在进行铸造NFT的人来说,你们需要了解其中所涉及的风险,因为任何拥有合约所有者密钥的人都可以在未经您批准的情况下将您的代币转移到他们想要的任何钱包地址中。?

黄立成已持有Azuki Elemental:金色财经报道,“麻吉大哥”黄立成在社交媒体宣布已持有Azuki Elemental并晒出了其持有的Azuki Elemental Froggy。[2023/6/28 22:04:59]

那么,这个操作是如何进行的呢?2PMFLOW.ETH做了以下解释——?

Azuki#3946以189.69枚ETH成交:金色财经报道,Etherscan数据显示,今日12:20,Azuki#3946在X2Y2上以189.69枚ETH成交,约合31.7万美元。[2023/6/16 21:41:52]

一些NFT项目的合约所有者可以更改

币安NFT市场推出蓝筹NFT抵押借贷功能,目前支持BAYC、MAYC、Azuki和Doodles:5月25日消息,币安NFT市场推出蓝筹NFT抵押借贷的新功能,目前支持ETH借入,通过抵押“蓝筹”NFT,例如 Bored Ape Yacht Club (BAYC)、Mutant Ape Yacht Club (MAYC)、Azuki 和 Doodles。在不久的将来将支持更多的加密货币和 NFT。

据 Binance NFT 网站,目前NFT 贷款的利率为 7.91%,贷款价值比在 40% 至 60% 之间。不会收取Gas费或以太坊交易费。[2023/5/25 10:40:13]

proxyRegistryAddress以指向他们自己的外部合约,而不是OpenSea的。在这种情况下,NFT项目合约所有者可以让他们的钱包代表你的钱包,以便他们可以代表你移动代币。?

也许你会说:“只有开发团队拥有所有者密钥,我相信他们!”可即便如此,就算你相信NFT项目开发团队,但密钥依然可能被泄露,因为黑客会利用这个漏洞来攻击NFT项目开发团队,当其他人被黑客入侵时,您是否希望自己的钱包也被掏空?2PMFLOW.ETH认为,软件开发是要权衡取舍,但是不能让开发人员在铸造NFT之后继续控制代币所有权,而且在合约中也应该约定不允许这种行为发生,这点非常重要。?“不能作恶”>“不去作恶”。?

2PMFLOW.ETH透露,他们注意到一些即将启动的NFT项目存在此问题。支持OpenSea白名单的更安全的替代方案其实非常简单,只需在构造函数中设置OpenseaproxyRegistryAddress并使其不可变,操作也只需要短短2分钟即可完成部署。?

来源链接

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

[0:46ms0-1:855ms