Jest nowa klasa ludzi, którzy próbują arbitrażu kontraktów NFTStrategy. Jako samozwańczy strażnik tych kontraktów, zerkam, jak każdy uczestnik działa.
Większość wdraża nieaudytowane kontrakty do użycia, zazwyczaj wraz z delegacjami EIP7702.
1/🧵
2/ Nie mogę wystarczająco podkreślić, że zanim powierzycie całe swoje konto kontraktowi, który stworzyliście z pomocą ChatGPT... właściwie, po prostu nie powierzajcie całego swojego konta kontraktowi, który stworzyliście z pomocą ChatGPT.
3/ Niektórzy ludzie używają pustych EOA do przeprowadzania arbitrażu. To zazwyczaj w porządku, ponieważ ryzyko związane z wykorzystaniem kontraktu dotyczy w najwyższym stopniu tego, co masz na swoim koncie. Jednak nadal narażasz się na ryzyko, jeśli kiedykolwiek użyjesz konta do czegoś innego w przyszłości.
4/ Na przykład, jeśli 0xB4 kiedykolwiek zdobędzie Bored Ape bez wcześniejszego cofnięcia zgody, którą wymusiłem na jego koncie, małpa jest tak samo dobra jak moja.
Oczywiście nigdy bym jej nie wziął, to było tylko ostrzeżenie onchain.
5/ Podobnie jak użytkownik OS "deadcells":
Mam twoje EPG #35 i Howlerz #3924. Deleguj do nowego kontraktu z jakąś formą kontroli dostępu, szczególnie że twój zakodowany napiwek dla górnika może być użyty do przymusowego wyczerpania twojego ETH.
Oczywiście zwrócę NFT, gdy będziesz bezpieczny.
7/ Problem jest trójstronny:
Po pierwsze, nie ma sprawdzenia, czy kontrakt strategii wywołuje funkcję.
Po drugie, nie ma sprawdzenia, czy wywołanie na rynku dokonuje zakupu NFT.
Po trzecie, nie ma sprawdzenia, czy NFT, które jest przenoszone, jest w ogóle NFT.
8/ Eksploatacja jest prosta: wywołanie rynku staje się dosłownie tym, co chcesz (przesył NFT, zatwierdzenie WETH lub dowolne arbitralne wywołanie kontraktu).
Przesył NFT może być naprawdę czymkolwiek, pod warunkiem, że kontrakt ma funkcję transferFrom, która nie spowoduje błędu.
9/ W powyższych przypadkach wywołałem transfer o zerowej wartości na USDC, podając "0" jako oczekiwany identyfikator tokena. "transferFrom(them, me, 0)" jest technicznie ważnym transferem w oczach kontraktu USDC.
10/ Więc znowu apel do wszystkich: zlećcie audyt swoich kontraktów, niezależnie od tego, jak proste mogą się wydawać. Ta przestrzeń jest niebezpieczna i powinniście zakładać, że wszyscy chcą was oszukać (chcą).
97,59 tys.
372
Treści na tej stronie są dostarczane przez strony trzecie. O ile nie zaznaczono inaczej, OKX nie jest autorem cytowanych artykułów i nie rości sobie żadnych praw autorskich do tych materiałów. Treść jest dostarczana wyłącznie w celach informacyjnych i nie reprezentuje poglądów OKX. Nie mają one na celu jakiejkolwiek rekomendacji i nie powinny być traktowane jako porada inwestycyjna lub zachęta do zakupu lub sprzedaży aktywów cyfrowych. Treści, w zakresie w jakim jest wykorzystywana generatywna sztuczna inteligencja do dostarczania podsumowań lub innych informacji, mogą być niedokładne lub niespójne. Przeczytaj podlinkowany artykuł, aby uzyskać więcej szczegółów i informacji. OKX nie ponosi odpowiedzialności za treści hostowane na stronach osób trzecich. Posiadanie aktywów cyfrowych, w tym stablecoinów i NFT, wiąże się z wysokim stopniem ryzyka i może podlegać znacznym wahaniom. Musisz dokładnie rozważyć, czy handel lub posiadanie aktywów cyfrowych jest dla Ciebie odpowiednie w świetle Twojej sytuacji finansowej.