NFT项目Azuki联合创始人2PMFLOW.ETH在推特上表示,他注意到最近在OpenSea上出现问题,即:有人能使用可变proxyRegistryAddress成为NFT合约白名单。对于正在进行铸造NFT的人来说,你们需要了解其中所涉及的风险,因为任何拥有合约所有者密钥的人都可以在未经您批准的情况下将您的代币转移到他们想要的任何钱包地址中。?
Azuki:更新Elementals背景元数据的投票将于7月8日开启:7月7日消息,NFT项目Azuki发推称,有关更新Elementals背景元数据的投票将于太平洋时间7月7日15:00左右(北京时间7月8日06:00)开始。Azuki表示,艺术团队提出了一个细微的域背景(domainbackground),并带有轻微的色偏偏移,以应对潜在的变化。即使投票结果导致Elementals系列中的背景元数据没有变化,域背景仍将可用于收藏家Profile中的链下装备。[2023/7/7 22:23:11]
那么,这个操作是如何进行的呢?2PMFLOW.ETH做了以下解释——?
AzukiDao的治理代币合约受到攻击,两名攻击者已获利35枚ETH:7月3日消息,MetaSleuth发推称,AzukiDao的治理代币合约因存在漏洞受到攻击,已有两名攻击者利用该漏洞获利35枚ETH。[2023/7/3 22:15:04]
一些NFT项目的合约所有者可以更改
微软数字转型总监:正研究为Azure DevOps下一次主要架构添加以太坊Layer2:4月15日消息,微软数字转型和区块链总监Yorke Rhodes在其社交网站表示,正在为微软Azure DevOps招聘一位精通区块链的核心工程师,需要该工程师以以太坊Solidity语言为基础,利用区块链特性,研究为下一次主要架构更新添加整合以太坊L2。[2022/4/15 14:27:29]
proxyRegistryAddress以指向他们自己的外部合约,而不是OpenSea的。在这种情况下,NFT项目合约所有者可以让他们的钱包代表你的钱包,以便他们可以代表你移动代币。?
也许你会说:“只有开发团队拥有所有者密钥,我相信他们!”可即便如此,就算你相信NFT项目开发团队,但密钥依然可能被泄露,因为黑客会利用这个漏洞来攻击NFT项目开发团队,当其他人被黑客入侵时,您是否希望自己的钱包也被掏空?2PMFLOW.ETH认为,软件开发是要权衡取舍,但是不能让开发人员在铸造NFT之后继续控制代币所有权,而且在合约中也应该约定不允许这种行为发生,这点非常重要。?“不能作恶”>“不去作恶”。?
2PMFLOW.ETH透露,他们注意到一些即将启动的NFT项目存在此问题。支持OpenSea白名单的更安全的替代方案其实非常简单,只需在构造函数中设置OpenseaproxyRegistryAddress并使其不可变,操作也只需要短短2分钟即可完成部署。?
来源链接
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。