CoinVoice最新获悉:2 月 18 日,神鱼在社交媒体针对 NFT 平台 X2Y2 上挂单交易挖矿模式发文指出,用户 NFT 授权的是 0xf849de01b080adc3a814fabe1e2087475cf2e354 ERC721Delegate 合约,该合约有 RBAC 的权限管理。交易 Exchange 合约 0x74312363e45dcaba76c59ec49a7aa8a65a67eed3 拥有通过 ERC721Delegate 合约转移用户 token 的权限。即去中心化 NFT 平台 X2Y2 的交易合约是可升级合约,升级权限是官方单地址。理论上存在官方通过升级合约,转走用户 NFT 的可能。 对此,X2Y2 官方回应表示,为降低这种风险,合约的管理权限已经转移到 gnosis 的多签钱包,所有市场合约都有类似转走用户 NFT 的能力。 此后,神鱼再次回复 X2Y2 表示,目前授权合约的确转移给了多签,请 X2Y2 加上时间锁。个人这里说的是交易 Exchange 合约是可升级合约,升级权限(proxyAdmin 的 owner)是官方单地址,也请转移给多签并加上时间锁。 [原文链接]
CoinVoice最新获悉:2 月 18 日,神鱼在社交媒体针对 NFT 平台 X2Y2 上挂单交易挖矿模式发文指出,用户 NFT 授权的是 0xf849de01b080adc3a814fabe1e2087475cf2e354 ERC721Delegate 合约,该合约有 RBAC 的权限管理。交易 Exchange 合约 0x74312363e45dcaba76c59ec49a7aa8a65a67eed3 拥有通过 ERC721Delegate 合约转移用户 token 的权限。即去中心化 NFT 平台 X2Y2 的交易合约是可升级合约,升级权限是官方单地址。理论上存在官方通过升级合约,转走用户 NFT 的可能。 对此,X2Y2 官方回应表示,为降低这种风险,合约的管理权限已经转移到 gnosis 的多签钱包,所有市场合约都有类似转走用户 NFT 的能力。 此后,神鱼再次回复 X2Y2 表示,目前授权合约的确转移给了多签,请 X2Y2 加上时间锁。个人这里说的是交易 Exchange 合约是可升级合约,升级权限(proxyAdmin 的 owner)是官方单地址,也请转移给多签并加上时间锁。 [原文链接]