深潮TechFlow消息,據慢霧安全團隊初步分析,ERC721R 示例合約存在缺陷可導致項目方利用此問題進行 RugPull,此缺陷本質上是由於 owner 權限過大問題,在 ERC721R 示例合約中 owner 可以通過 setRefundAddress 函數任意設置接收用戶退回的 NFT 地址。
當此退回地址持有目標 NFT 時,其可以通過調用 refund 函數不斷的進行退款操作從而耗盡用戶在合約中鎖定的購買資金。且示例合約中存在 ownerMint 函數,owner 可在 NFT mint 未達總供應量的情況下進行 mint。慢霧安全團隊建議用戶在參與 NFT mint 時不管項目方是否使用 ERC721R 都需做好風險評估。
添加收藏
分享社交媒體



