有一类新的人都在尝试套利 NFTStrategy 合约。作为这些合约的自称守护者,我会观察每个参与者的操作方式。
大多数人部署未经审计的合约来使用,通常还会配合 EIP7702 委托。
1/🧵
2/ 我无法强调足够,在将整个账户委托给你用 ChatGPT 帮助创建的合约之前……实际上,最好不要将整个账户委托给你用 ChatGPT 帮助创建的合约。
有些人正在使用空的EOA来进行套利。这通常是可以的,因为合约漏洞最多只会影响你账户中的资产。然而,如果你将来将该账户用于其他用途,你仍然会面临风险。
4/ 例如,如果0xB4在没有先撤销我强加于他账户的批准的情况下获得了一只无聊猿,那么这只猿就等于我的了。
当然我不会拿走它,这只是一个链上的警告。
5/ 类似于操作系统用户 "deadcells":
我有你的 EPG #35 和 Howlerz #3924。请将其委托给一个具有某种访问控制的新合约,特别是因为你硬编码的矿工小费可以被用来强行提取你的 ETH。
当然,一旦你安全,我会归还这些 NFT。
7/ 问题有三方面:
首先,没有检查以确保策略合约正在调用该函数。
其次,没有检查以确保市场调用正在购买一个NFT。
第三,没有检查以确保被转移的NFT确实是一个NFT。
8/ 漏洞很简单:市场调用可以变成你想要的任何东西(NFT 转移、WETH 授权或任何任意合约调用)。
NFT 转移实际上可以是任何东西,只要合约有一个不会回退的 transferFrom 函数。
9/ 在上述情况下,我通过提供 "0" 作为预期的代币 ID 触发了 USDC 的零值转账。"transferFrom(them, me, 0)" 在 USDC 合约的眼中在技术上是一个有效的转账。
10/ 再次呼吁大家:无论你认为你的合约多么简单,都要进行审计。这个领域很危险,你应该假设每个人都想要对付你(他们确实是)。
3.03万
252
本页面内容由第三方提供。除非另有说明,欧易不是所引用文章的作者,也不对此类材料主张任何版权。该内容仅供参考,并不代表欧易观点,不作为任何形式的认可,也不应被视为投资建议或购买或出售数字资产的招揽。在使用生成式人工智能提供摘要或其他信息的情况下,此类人工智能生成的内容可能不准确或不一致。请阅读链接文章,了解更多详情和信息。欧易不对第三方网站上的内容负责。包含稳定币、NFTs 等在内的数字资产涉及较高程度的风险,其价值可能会产生较大波动。请根据自身财务状况,仔细考虑交易或持有数字资产是否适合您。