NFT项目Azuki联合创始人2PMFLOW.ETH在推特上表示,他注意到最近在OpenSea上出现问题,即:有人能使用可变proxyRegistryAddress成为NFT合约白名单。对于正在进行铸造NFT的人来说,你们需要了解其中所涉及的风险,因为任何拥有合约所有者密钥的人都可以在未经您批准的情况下将您的代币转移到他们想要的任何钱包地址中。?
Azuki官推遭黑客入侵,目前官方已恢复其账号控制权:据官方消息,蓝筹NFT项目Azuki官方推特账号于今日凌晨遭到黑客入侵,发布一系列虚假“Azuki项目土地Mint”信息及链接,目前官方已恢复其账号控制权,第一时间发布公告并删除相关推文及链接,Azuki开发团队ChiruLabs表示正在与Twitter联系并调查此次违规事件。[2023/1/28 11:33:35]
那么,这个操作是如何进行的呢?2PMFLOW.ETH做了以下解释——?
Azuki系列NFT连续两日交易额增长超2倍:3月25日消息,据NFTGO数据显示,Azuki系列NFT连续两日交易额增长超2倍,其中3月23日成交额超575万美元,3月24日成交额超1903万美元,23日与24日成交额环比分别增长215.4%与330.7%,近两日有多个巨鲸账户集中买入该系列NFT。[2022/3/25 14:17:12]
一些NFT项目的合约所有者可以更改
Azuro宣布完成350万美元种子轮融资:1月20日消息,Azuro宣布完成350万美元种子轮融资,Gnosis、Flow Ventures、Polymorphic Capital领投,Ethereal Ventures、Arrington XRP Capital、AllianceDAO、Delphi Digital、Meta Cartel Ventures、Merit Circle、Clever Advertising、SevenX、OP Crypto、CitizenX、BR Capital、David Post、Alex Wearn、Sergei Chan等参投。[2022/1/20 9:00:43]
proxyRegistryAddress以指向他们自己的外部合约,而不是OpenSea的。在这种情况下,NFT项目合约所有者可以让他们的钱包代表你的钱包,以便他们可以代表你移动代币。?
也许你会说:“只有开发团队拥有所有者密钥,我相信他们!”可即便如此,就算你相信NFT项目开发团队,但密钥依然可能被泄露,因为黑客会利用这个漏洞来攻击NFT项目开发团队,当其他人被黑客入侵时,您是否希望自己的钱包也被掏空?2PMFLOW.ETH认为,软件开发是要权衡取舍,但是不能让开发人员在铸造NFT之后继续控制代币所有权,而且在合约中也应该约定不允许这种行为发生,这点非常重要。?“不能作恶”>“不去作恶”。?
2PMFLOW.ETH透露,他们注意到一些即将启动的NFT项目存在此问题。支持OpenSea白名单的更安全的替代方案其实非常简单,只需在构造函数中设置OpenseaproxyRegistryAddress并使其不可变,操作也只需要短短2分钟即可完成部署。?
来源链接
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。