TechFlow tin tức, theo phân tích ban đầu của đội an toàn SlowMist, bản chất lỗi này là do quyền hạn owner quá lớn. Trong hợp đồng mẫu ERC721R, owner có thể sử dụng hàm setRefundAddress để tùy ý thiết lập địa chỉ nhận NFT hoàn trả từ người dùng. Khi địa chỉ hoàn trả này sở hữu NFT mục tiêu, họ có thể liên tục gọi hàm refund để thực hiện thao tác hoàn tiền, từ đó làm cạn kiệt số tiền mua bị khóa trong hợp đồng của người dùng. Ngoài ra, trong hợp đồng mẫu còn tồn tại hàm ownerMint, cho phép owner tiến hành mint khi lượng NFT chưa đạt đến tổng cung. Do đó, việc triển khai ERC721R vẫn chỉ "phòng được người tốt, không phòng được kẻ xấu".
Đội an toàn SlowMist khuyến nghị người dùng cần thực hiện đánh giá rủi ro kỹ lưỡng khi tham gia mint NFT, bất kể dự án có sử dụng ERC721R hay không.




