4月16日消息,在周杰倫NFT被盜之後,研究人員RomanZaikin、DiklaBarda和OdedVanunu開始調查NFT常用的EIP-721標準,結果發現欺詐者可以引誘用戶點擊惡意NFT的鏈接,然後通過該標準內一個名為setApprovalForAll的函數控制受害者賬戶,該函數可以授權任何人控制NFT,其設計初衷是為了讓Rarible和OpenSea等第三方能夠代表用戶控制NFT。一旦該函數完成授權,攻擊者就可以通過使用合約上的transferFrom函數將受害者名下的所有NFT轉移到自己的賬戶。研究人員表示,該功能在設計上非常危險,用戶並不總是清楚他們通過簽署交易給予了哪些權限。大多數時候,受害者認為這些僅為常規交易。 (TheRegister)
dark