Hay una nueva clase de personas que intentan arruinar los contratos de NFTStrategy. Como autoproclamado guardián de estos contratos, me doy cuenta de cómo opera cada participante.
La mayoría implementa contratos no auditados para su uso, generalmente junto con delegaciones EIP7702.
1/ 🧵
2/ No puedo enfatizar lo suficiente que antes de delegar toda su cuenta a un contrato, lo hizo con la ayuda de ChatGPT ... en realidad, simplemente no delegue toda su cuenta a un contrato que creó con la ayuda de ChatGPT.
3/ Algunas personas están usando EOAs vacíos para ejecutar el arb. Eso generalmente está bien, ya que un exploit de contrato arriesga como máximo lo que tiene en su cuenta. Sin embargo, aún se pone en riesgo si alguna vez usa la cuenta para otra cosa en el futuro.
4/ Por ejemplo, si alguna vez 0xB4 adquiere un mono aburrido sin revocar primero la aprobación que forcé por su cuenta, el mono es tan bueno como el mío.
Nunca lo tomaría, por supuesto, esto era solo una advertencia en cadena.
5 / De manera similar, a las "celdas muertas" del usuario del sistema operativo:
Tengo su EPG # 35 y Howlerz # 3924. Delegue en un nuevo contrato con algún tipo de control de acceso, especialmente porque su punta de minero codificada se puede usar para drenar su ETH por la fuerza.
Por supuesto, devolveré los NFT una vez que esté seguro.
7/ El problema es triple:
En primer lugar, no hay ninguna comprobación para garantizar que el contrato de estrategia llame a la función.
En segundo lugar, no hay verificación para garantizar que la llamada del mercado esté comprando un NFT
En tercer lugar, no hay ninguna comprobación para garantizar que el NFT que se transfiere sea incluso un NFT
8/ El exploit es simple: la llamada del mercado se convierte literalmente en lo que quieras (una transferencia de NFT, aprobación WETH o cualquier llamada de contrato arbitraria).
La transferencia de NFT puede ser cualquier cosa en realidad, siempre que el contrato tenga una función transferFrom que no se revierta.
9/ En los casos anteriores, activé una transferencia de valor cero en USDC al proporcionar "0" como el ID de token esperado. "transferFrom(them, me, 0)" es técnicamente una transferencia válida a los ojos del contrato de USDC.
10/ Así que, de nuevo, un llamado a todos: auditen sus contratos, sin importar cuán simples puedan pensar que son. Este espacio es peligroso, y debes asumir que todo el mundo quiere atraparte (lo están).
136.9 k
453
El contenido al que estás accediendo se ofrece por terceros. A menos que se indique lo contrario, OKX no es autor de la información y no reclama ningún derecho de autor sobre los materiales. El contenido solo se proporciona con fines informativos y no representa las opiniones de OKX. No pretende ser un respaldo de ningún tipo y no debe ser considerado como un consejo de inversión o una solicitud para comprar o vender activos digitales. En la medida en que la IA generativa se utiliza para proporcionar resúmenes u otra información, dicho contenido generado por IA puede ser inexacto o incoherente. Lee el artículo enlazado para más detalles e información. OKX no es responsable del contenido alojado en sitios de terceros. Los holdings de activos digitales, incluidos stablecoins y NFT, suponen un alto nivel de riesgo y pueden fluctuar mucho. Debes considerar cuidadosamente si el trading o holding de activos digitales es adecuado para ti según tu situación financiera.