TechFlow 소식에 따르면, SlowMist 보안 팀의 초기 분석 결과에 따르면, 이 결함은 본질적으로 owner 권한이 과도하게 부여된 데서 비롯된다. ERC721R 예제 계약서에서 owner는 setRefundAddress 함수를 사용해 사용자가 반납한 NFT를 수령할 주소를 임의로 설정할 수 있다. 만약 이 반납 주소가 대상 NFT를 보유하고 있을 경우, owner는 refund 함수를 반복적으로 호출하여 사용자가 계약에 예치한 구매 자금을 모두 고갈시킬 수 있다. 또한 예제 계약서에는 ownerMint 함수가 존재하여, NFT 민팅이 전체 공급량에 도달하지 않았더라도 owner가 추가 민팅을 수행할 수 있다. 따라서 ERC721R의 구현은 여전히 '군자를 막을 뿐, 소인배는 막지 못한다'고 볼 수 있다.
SlowMist 보안 팀은 사용자들이 NFT 민팅에 참여할 때 프로젝트 팀이 ERC721R을 사용하든 하지 않든 간에 리스크 평가를 철저히 할 것을 권고했다.




