星球日報訊據@BenWAGMI消息,ERC721R示例合約存在缺陷可導致項目方利用此問題進行RugPull。慢霧安全團隊初步分析表示,此缺陷本質上是由於owner權限過大問題,在ERC721R示例合約中owner可以通過setRefundAddress函數任意設置接收用戶退回的NFT地址。當此退回地址持有目標NFT時,其可以通過調用refund函數不斷的進行退款操作從而耗盡用戶在合約中鎖定的購買資金。且示例合約中存在ownerMint函數,owner可在NFT mint未達總供應量的情況下進行mint。因此ERC721R的實現仍是防君子不防小人。此外,慢霧安全團隊建議用戶在參與NFT mint時不管項目方是否使用ERC721R都需做好風險評估。
dark