Selon une analyse préliminaire de l'équipe de sécurité SlowMist, le contrat exemple ERC721R présente un défaut qui pourrait permettre aux initiateurs d'un projet de réaliser un RugPull. Ce défaut provient essentiellement d'un contrôle excessif accordé au propriétaire (owner). Dans le contrat exemple ERC721R, le propriétaire peut utiliser la fonction setRefundAddress pour définir arbitrairement l'adresse destinataire des NFT remboursés par les utilisateurs.
Lorsque cette adresse de remboursement détient les NFT visés, elle peut appeler la fonction refund en continu afin d'épuiser les fonds déposés par les utilisateurs dans le contrat. De plus, le contrat exemple inclut une fonction ownerMint, permettant au propriétaire de créer de nouveaux NFT même si le nombre total de NFT n'a pas encore atteint l'offre maximale prévue. L'équipe de sécurité SlowMist recommande aux utilisateurs d'évaluer soigneusement les risques avant de participer à tout minting de NFT, indépendamment de l'utilisation ou non de la norme ERC721R par le projet.




