Quit
Quit
USDC-0,25%
ETH-3,13%
BTC-2,26%
SOL-3,34%
BNB-5,69%
ADA-4,94%
З'явився новий клас людей, які намагаються викласти контракти NFTStrategy. Як самопроголошений хранитель цих контрактів, я звертаю увагу на те, як діє кожен учасник. Більшість з них використовують неаудовані контракти, як правило, разом з EIP7702 делегуваннями. 1/ 🧵
2/ Я не можу не підкреслити, що перед тим, як делегувати весь свій обліковий запис контракту, ви розкрутилися за допомогою ChatGPT... насправді, просто не делегуйте весь свій обліковий запис контракту, який ви розкрутили за допомогою ChatGPT.
3/ Деякі люди використовують порожні EOA для запуску вилки. Загалом це нормально, оскільки експлойт за контрактом ризикує максимум тим, що у вас на рахунку. Однак ви все одно наражаєте себе на ризик, якщо коли-небудь використовуватимете обліковий запис для чогось іншого в майбутньому.
4. Наприклад, якщо 0xB4 коли-небудь придбає Нудьгуючу Мавпу, не відкликавши спочатку схвалення, яке я нав'язав йому, мавпа буде такою ж гарною, як і моя. Я б ніколи не взяв, звичайно, це було просто попередження на ланцюжку.
Gallery 1
5. Аналогічно до "мертвих клітин" користувача ОС: У мене є ваш EPG #35 і Howlerz #3924. Делегуйте новий контракт з певною формою контролю доступу, тим більше, що ваш жорстко закодований наконечник майнера може бути використаний для примусового зливу ваших ETH. Звичайно, я поверну NFT, як тільки ви будете в безпеці.
7. Проблема полягає в трьох аспектах: По-перше, немає перевірки, щоб переконатися, що контракт стратегії викликає функцію. По-друге, немає перевірки, щоб переконатися, що дзвінок на маркетплейс купує NFT По-третє, немає перевірки, яка б гарантувала, що NFT, який передається, навіть є NFT
8/ Експлойт простий: дзвінок маркетплейсу стає буквально тим, що ви хочете (переказ NFT, схвалення WETH або будь-який довільний виклик контракту). Переказ NFT може бути будь-яким, якщо контракт має функцію transferFrom, яка не скасується.
9/ У наведених вище випадках я ініціював переказ нульової вартості на USDC, вказавши "0" як очікуваний ID токена. "transferFrom(them, me, 0)" технічно є дійсним переказом з точки зору контракту USDC.
Gallery 1
Gallery 2
10/ Отже, знову ж таки, заклик до всіх: проведіть аудит своїх контрактів, якими б простими ви не думали, що вони є. Цей простір небезпечний, і ви повинні припустити, що всі вийшли за вами (вони так і є).
Показати оригінал
Джерело:twitter
133,48 тис.
445
Вміст на цій сторінці надається третіми сторонами. Якщо не вказано інше, OKX не є автором цитованих статей і не претендує на авторські права на матеріали. Вміст надається виключно з інформаційною метою і не відображає поглядів OKX. Він не є схваленням жодних дій і не має розглядатися як інвестиційна порада або заохочення купувати чи продавати цифрові активи. Короткий виклад вмісту чи інша інформація, створена генеративним ШІ, можуть бути неточними або суперечливими. Прочитайте статтю за посиланням, щоб дізнатися більше. OKX не несе відповідальності за вміст, розміщений на сторонніх сайтах. Утримування цифрових активів, зокрема стейблкоїнів і NFT, пов’язане з високим ризиком, а вартість таких активів може сильно коливатися. Перш ніж торгувати цифровими активами або утримувати їх, ретельно оцініть свій фінансовий стан.