Hay una nueva clase de personas que intentan arbitrar los contratos de NFTStrategy. Como el autoproclamado guardián de estos contratos, echo un vistazo a cómo opera cada participante.
La mayoría despliega contratos no auditados para usar, típicamente junto con delegaciones EIP7702.
1/🧵
2/ No puedo enfatizar lo suficiente que antes de delegar toda tu cuenta a un contrato que creaste con la ayuda de ChatGPT... en realidad, simplemente no delegues toda tu cuenta a un contrato que creaste con la ayuda de ChatGPT.
3/ Algunas personas están utilizando EOAs vacíos para ejecutar el arb. Eso generalmente está bien, ya que un exploit de contrato arriesga como máximo lo que tienes en tu cuenta. Sin embargo, aún te pones en riesgo si alguna vez usas la cuenta para algo más en el futuro.
4/ Por ejemplo, si 0xB4 alguna vez adquiere un Bored Ape sin antes revocar la aprobación que forcé en su cuenta, el simio es tan bueno como mío.
Por supuesto, nunca lo tomaría, esto fue solo una advertencia en la cadena.
5/ De manera similar, al usuario de OS "deadcells":
Tengo tu EPG #35 y Howlerz #3924. Delegar a un nuevo contrato con algún tipo de control de acceso, especialmente dado que tu propina de minero codificada puede ser utilizada para drenar forzosamente tu ETH.
Por supuesto, devolveré los NFTs una vez que estés seguro.
7/ El problema es triple:
Primero, no hay ninguna verificación para asegurar que el contrato de estrategia esté llamando a la función.
Segundo, no hay ninguna verificación para asegurar que la llamada al mercado esté comprando un NFT.
Tercero, no hay ninguna verificación para asegurar que el NFT que se está transfiriendo sea realmente un NFT.
8/ La explotación es simple: la llamada al mercado se convierte literalmente en lo que quieras (una transferencia de NFT, aprobación de WETH, o cualquier llamada de contrato arbitraria).
La transferencia de NFT puede ser cualquier cosa, realmente, siempre que el contrato tenga una función transferFrom que no revierta.
9/ En los casos anteriores, activé una transferencia de valor cero en USDC al proporcionar "0" como el ID de token esperado. "transferFrom(them, me, 0)" es técnicamente una transferencia válida a los ojos del contrato de USDC.
10/ Así que de nuevo, un llamado a todos: hagan auditar sus contratos, sin importar cuán simples puedan pensar que son. Este espacio es peligroso, y deben asumir que todos están en su contra (lo están).
50,67 mil
297
El contenido de esta página lo proporcionan terceros. A menos que se indique lo contrario, OKX no es el autor de los artículos citados y no reclama ningún derecho de autor sobre los materiales. El contenido se proporciona únicamente con fines informativos y no representa las opiniones de OKX. No pretende ser un respaldo de ningún tipo y no debe ser considerado como un consejo de inversión o una solicitud para comprar o vender activos digitales. En la medida en que la IA generativa se utiliza para proporcionar resúmenes u otra información, dicho contenido generado por IA puede ser inexacto o incoherente. Lee el artículo vinculado para obtener más detalles e información. OKX no es responsable del contenido alojado en sitios de terceros. El holding de activos digitales, incluyendo stablecoins y NFT, implican un alto grado de riesgo y pueden fluctuar en gran medida. Debes considerar cuidadosamente si el trading o holding de activos digitales es adecuado para ti a la luz de tu situación financiera.