Có một lớp người mới đang cố gắng khai thác các hợp đồng NFTStrategy. Là người tự xưng là người bảo vệ những hợp đồng này, tôi theo dõi cách mỗi người tham gia hoạt động.
Hầu hết đều triển khai các hợp đồng chưa được kiểm toán để sử dụng, thường kèm theo các ủy quyền EIP7702.
1/🧵
2/ Tôi không thể nhấn mạnh đủ rằng trước khi ủy quyền toàn bộ tài khoản của bạn cho một hợp đồng mà bạn tạo ra với sự trợ giúp của ChatGPT... thực sự, chỉ cần đừng ủy quyền toàn bộ tài khoản của bạn cho một hợp đồng mà bạn tạo ra với sự trợ giúp của ChatGPT.
3/ Một số người đang sử dụng các EOA trống để thực hiện giao dịch chênh lệch giá. Điều đó thường là ổn, vì một lỗ hổng hợp đồng chỉ có thể rủi ro tối đa những gì bạn có trong tài khoản của mình. Tuy nhiên, bạn vẫn đặt mình vào rủi ro nếu bạn từng sử dụng tài khoản cho một mục đích khác trong tương lai.
4/ Ví dụ, nếu 0xB4 từng sở hữu một Bored Ape mà không hủy bỏ sự chấp thuận mà tôi đã ép buộc trên tài khoản của anh ta, thì con khỉ đó coi như là của tôi.
Tôi sẽ không bao giờ lấy nó, tất nhiên, đây chỉ là một cảnh báo trên chuỗi.
5/ Tương tự, với người dùng OS "deadcells":
Tôi có EPG #35 và Howlerz #3924 của bạn. Ủy quyền cho một hợp đồng mới với một số hình thức kiểm soát truy cập, đặc biệt là vì tiền thưởng khai thác được mã hóa cứng của bạn có thể được sử dụng để cưỡng chế rút ETH của bạn.
Tôi sẽ trả lại các NFT khi bạn đã an toàn.
7/ Vấn đề là ba phần:
Đầu tiên, không có kiểm tra để đảm bảo rằng hợp đồng chiến lược đang gọi hàm.
Thứ hai, không có kiểm tra để đảm bảo rằng cuộc gọi thị trường đang mua một NFT.
Thứ ba, không có kiểm tra để đảm bảo rằng NFT đang được chuyển nhượng thực sự là một NFT.
8/ Lỗ hổng rất đơn giản: cuộc gọi thị trường trở thành bất cứ điều gì bạn muốn (chuyển NFT, phê duyệt WETH, hoặc bất kỳ cuộc gọi hợp đồng tùy ý nào).
Chuyển NFT có thể là bất cứ điều gì thực sự, miễn là hợp đồng có một hàm transferFrom mà không bị revert.
9/ Trong các trường hợp trên, tôi đã kích hoạt một giao dịch chuyển nhượng giá trị bằng không trên USDC bằng cách cung cấp "0" làm ID token mong đợi. "transferFrom(them, me, 0)" về mặt kỹ thuật là một giao dịch chuyển nhượng hợp lệ trong mắt hợp đồng USDC.
10/ Một lần nữa, tôi kêu gọi mọi người: hãy kiểm tra hợp đồng của bạn, bất kể chúng đơn giản đến đâu. Không gian này rất nguy hiểm, và bạn nên giả định rằng mọi người đều muốn hại bạn (họ thực sự muốn).
133,48 N
445
Nội dung trên trang này được cung cấp bởi các bên thứ ba. Trừ khi có quy định khác, OKX không phải là tác giả của bài viết được trích dẫn và không tuyên bố bất kỳ bản quyền nào trong các tài liệu. Nội dung được cung cấp chỉ nhằm mục đích thông tin và không thể hiện quan điểm của OKX. Nội dung này không nhằm chứng thực dưới bất kỳ hình thức nào và không được coi là lời khuyên đầu tư hoặc lời chào mời mua bán tài sản kỹ thuật số. Việc sử dụng AI nhằm cung cấp nội dung tóm tắt hoặc thông tin khác, nội dung do AI tạo ra có thể không chính xác hoặc không nhất quán. Vui lòng đọc bài viết trong liên kết để biết thêm chi tiết và thông tin. OKX không chịu trách nhiệm về nội dung được lưu trữ trên trang web của bên thứ ba. Việc nắm giữ tài sản kỹ thuật số, bao gồm stablecoin và NFT, có độ rủi ro cao và có thể biến động rất lớn. Bạn phải cân nhắc kỹ lưỡng xem việc giao dịch hoặc nắm giữ tài sản kỹ thuật số có phù hợp hay không dựa trên tình hình tài chính của bạn.