有一群新的人正在嘗試套利 NFTStrategy 合約。作為這些合約的自稱守護者,我會偷偷觀察每個參與者的操作。
大多數人部署未經審核的合約來使用,通常還會搭配 EIP7702 授權。
1/🧵
2/ 我無法強調足夠,在將整個帳戶委託給你用 ChatGPT 幫助創建的合約之前... 實際上,根本不要將整個帳戶委託給你用 ChatGPT 幫助創建的合約。
3/ 有些人使用空的 EOA 來進行套利。這通常是可以的,因為合約漏洞最多只會危及你帳戶中的資金。然而,如果你將來將該帳戶用於其他用途,仍然會讓自己面臨風險。
4/ 例如,如果0xB4在未先撤銷我強制授予他帳戶的批准的情況下獲得了一隻Bored Ape,那麼這隻猿猴就等於是我的了。
我當然不會拿走它,這只是一個鏈上警告。
5/ 同樣地,對於 OS 用戶 "deadcells":
我有你的 EPG #35 和 Howlerz #3924。請將其委託給一個具有某種訪問控制的新合約,特別是因為你硬編碼的礦工小費可以被用來強行提取你的 ETH。
當然,一旦你安全後,我會將 NFT 退還給你。
7/ 問題有三個方面:
首先,沒有檢查以確保策略合約正在調用該函數。
其次,沒有檢查以確保市場呼叫正在購買一個NFT。
第三,沒有檢查以確保被轉移的NFT實際上是一個NFT。
8/ 這個漏洞很簡單:市場的調用變成了你想要的任何東西(NFT 轉移、WETH 授權或任何任意的合約調用)。
NFT 轉移可以是任何東西,只要合約有一個不會回退的 transferFrom 函數。
9/ 在上述情況中,我通過提供 "0" 作為預期的代幣 ID 觸發了 USDC 的零值轉移。"transferFrom(them, me, 0)" 在 USDC 合約的眼中在技術上是一個有效的轉移。
10/ 再次呼籲大家:無論你的合約看起來多麼簡單,都要進行審計。這個領域是危險的,你應該假設每個人都想要對付你(他們確實是)。
13.69萬
453
本頁面內容由第三方提供。除非另有說明,OKX 不是所引用文章的作者,也不對此類材料主張任何版權。該內容僅供參考,並不代表 OKX 觀點,不作為任何形式的認可,也不應被視為投資建議或購買或出售數字資產的招攬。在使用生成式人工智能提供摘要或其他信息的情況下,此類人工智能生成的內容可能不準確或不一致。請閱讀鏈接文章,瞭解更多詳情和信息。OKX 不對第三方網站上的內容負責。包含穩定幣、NFTs 等在內的數字資產涉及較高程度的風險,其價值可能會產生較大波動。請根據自身財務狀況,仔細考慮交易或持有數字資產是否適合您。