深潮 TechFlow 消息,浏览器安全插件 Pocket Universe 表示,Opensea 旧合约上发现一个新漏洞,可用于窃取用户的 NFT,一旦签署交易就可能被清空钱包。它可以盗取用户在 2022 年 5 月之前(即 Seaport 升级之前)在 Opensea 上列出的任何 NFT。
Opensea 此前使用 Wyvern 协议来匹配订单,当用户上架 NFT 时会授予代理合约提取 NFT 权限(即通常的 setApprovalForAll 权限),所以这个代理合约有权撤回用户在 2022 年 5 月之前列出的 NFT。新的漏洞利用会诱使用户签署交易,让攻击者拥有用户代理合约的所有权,从而有权提取用户的 NFT。来源链接
添加收藏
分享社交媒体




