Ada kelas baru orang yang semuanya mencoba untuk mengajukan kontrak NFTStrategy. Sebagai penjaga kontrak ini, saya memuncak bagaimana setiap peserta beroperasi.
Sebagian besar menyebarkan kontrak yang tidak diaudit untuk digunakan, biasanya bersama dengan delegasi EIP7702.
1/ 🧵
2/ Saya tidak bisa cukup menekankan bahwa sebelum mendelegasikan seluruh akun Anda ke kontrak, Anda berputar dengan bantuan ChatGPT... sebenarnya, jangan mendelegasikan seluruh akun Anda ke kontrak yang Anda buat dengan bantuan ChatGPT.
3/ Beberapa orang menggunakan EOA kosong untuk menjalankan arb. Itu umumnya baik-baik saja, karena eksploitasi kontrak paling banyak membahayakan apa yang Anda miliki di akun Anda. Namun, Anda masih membahayakan diri Anda jika Anda pernah menggunakan akun untuk hal lain di masa mendatang.
4/ Misalnya, jika 0xB4 pernah memperoleh Kera Bosan tanpa terlebih dahulu mencabut persetujuan yang saya paksakan atas akunnya, kera itu sama baiknya dengan saya.
Saya tidak akan pernah menerimanya tentu saja, ini hanya peringatan onchain.
5/ Demikian pula, untuk pengguna OS "deadcells":
Saya memiliki EPG #35 dan Howlerz #3924 Anda. Delegasikan ke kontrak baru dengan beberapa bentuk kontrol akses, terutama karena ujung penambang hardcode Anda dapat digunakan untuk menguras ETH Anda secara paksa.
Saya tentu saja akan mengembalikan NFT setelah Anda aman.
7/ Masalahnya ada tiga:
Pertama, tidak ada pemeriksaan untuk memastikan bahwa kontrak strategi memanggil fungsi.
Kedua, tidak ada pemeriksaan untuk memastikan panggilan pasar membeli NFT
Ketiga, tidak ada pemeriksaan untuk memastikan NFT yang ditransfer bahkan adalah NFT
8/ Eksploitasinya sederhana: panggilan pasar secara harfiah menjadi apa pun yang Anda inginkan (transfer NFT, persetujuan WETH, atau panggilan kontrak sewenang-wenang).
Transfer NFT bisa berupa apa saja, selama kontrak memiliki fungsi transferFrom yang tidak akan dikembalikan.
9/ Dalam kasus di atas, saya memicu transfer nilai nol pada USDC dengan memberikan "0" sebagai ID token yang diharapkan. "transferFrom(them, me, 0)" secara teknis merupakan transfer yang valid di mata kontrak USDC.
10/ Jadi sekali lagi, seruan untuk semua orang: periksa kontrak Anda, tidak peduli seberapa sederhana yang Anda pikirkan. Ruang ini berbahaya, dan Anda harus berasumsi bahwa semua orang keluar untuk menangkap Anda (mereka).
50,68 rb
297
Konten pada halaman ini disediakan oleh pihak ketiga. Kecuali dinyatakan lain, OKX bukanlah penulis artikel yang dikutip dan tidak mengklaim hak cipta atas materi tersebut. Konten ini disediakan hanya untuk tujuan informasi dan tidak mewakili pandangan OKX. Konten ini tidak dimaksudkan sebagai dukungan dalam bentuk apa pun dan tidak dapat dianggap sebagai nasihat investasi atau ajakan untuk membeli atau menjual aset digital. Sejauh AI generatif digunakan untuk menyediakan ringkasan atau informasi lainnya, konten yang dihasilkan AI mungkin tidak akurat atau tidak konsisten. Silakan baca artikel yang terkait untuk informasi lebih lanjut. OKX tidak bertanggung jawab atas konten yang dihosting di situs pihak ketiga. Kepemilikan aset digital, termasuk stablecoin dan NFT, melibatkan risiko tinggi dan dapat berfluktuasi secara signifikan. Anda perlu mempertimbangkan dengan hati-hati apakah trading atau menyimpan aset digital sesuai untuk Anda dengan mempertimbangkan kondisi keuangan Anda.