Há uma nova classe de pessoas tentando arbitrar os contratos NFTStrategy. Como o autoproclamado guardião desses contratos, vejo como cada participante opera.
A maioria implanta contratos não auditados para usar, normalmente junto com delegações EIP7702.
1/ 🧵
2/ Não posso enfatizar o suficiente que antes de delegar toda a sua conta a um contrato você girou com a ajuda do ChatGPT... na verdade, apenas não delegue toda a sua conta a um contrato que você criou com a ajuda do ChatGPT.
3/ Algumas pessoas estão usando EOAs vazios para executar o arb. Isso geralmente é bom, pois uma exploração de contrato arrisca no máximo o que você tem em sua conta. No entanto, você ainda se coloca em risco se usar a conta para outra coisa no futuro.
4/ Por exemplo, se 0xB4 adquirir um Macaco Entediado sem primeiro revogar a aprovação que forcei por causa dele, o macaco é tão bom quanto o meu.
Eu nunca aceitaria, é claro, isso foi apenas um aviso onchain.
5/ Da mesma forma, para o usuário do sistema operacional "deadcells":
Eu tenho seu EPG # 35 e Howlerz # 3924. Delegue a um novo contrato com alguma forma de controle de acesso, especialmente porque sua ponta de minerador codificada pode ser usada para drenar seu ETH à força.
É claro que devolverei os NFTs assim que você estiver seguro.
7/ O problema é triplo:
Primeiro, não há verificação para garantir que o contrato de estratégia esteja chamando a função.
Em segundo lugar, não há verificação para garantir que a chamada do mercado esteja comprando um NFT
Terceiro, não há verificação para garantir que o NFT que está sendo transferido seja mesmo um NFT
8/ A exploração é simples: a chamada de mercado torna-se literalmente o que você quiser (uma transferência NFT, aprovação WETH ou qualquer chamada de contrato arbitrária).
A transferência NFT pode ser qualquer coisa, desde que o contrato tenha uma função transferFrom que não seja revertida.
9/ Nos casos acima, acionei uma transferência de valor zero no USDC fornecendo "0" como o ID do token esperado. "transferFrom(them, me, 0)" é tecnicamente uma transferência válida aos olhos do contrato USDC.
10/ Então, novamente, um apelo a todos: faça com que seus contratos sejam auditados, não importa o quão simples você possa pensar que eles são. Este espaço é perigoso e você deve presumir que todos estão atrás de você (eles estão).
15,16 mil
159
O conteúdo desta página é fornecido por terceiros. A menos que especificado de outra forma, a OKX não é a autora dos artigos mencionados e não reivindica direitos autorais sobre os materiais apresentados. O conteúdo tem um propósito meramente informativo e não representa as opiniões da OKX. Ele não deve ser interpretado como um endosso ou aconselhamento de investimento de qualquer tipo, nem como uma recomendação para compra ou venda de ativos digitais. Quando a IA generativa é utilizada para criar resumos ou outras informações, o conteúdo gerado pode apresentar imprecisões ou incoerências. Leia o artigo vinculado para mais detalhes e informações. A OKX não se responsabiliza pelo conteúdo hospedado em sites de terceiros. Possuir ativos digitais, como stablecoins e NFTs, envolve um risco elevado e pode apresentar flutuações significativas. Você deve ponderar com cuidado se negociar ou manter ativos digitais é adequado para sua condição financeira.