CoinVoice最新获悉:2 月 18 日,神鱼在社交媒体表示经技术人员查阅,NFT 平台 X2Y2 上挂单交易挖矿模式所采用合约目前存在以下情况: 1. 用户 NFT 授权的是 0xf849de01b080adc3a814fabe1e2087475cf2e354 ERC721Delegate 合约,该合约有 RBAC 的权限管理; 2. 交易 Exchange 合约 0x74312363e45dcaba76c59ec49a7aa8a65a67eed3 拥有通过 ERC721Delegate 合约转移用户 token 的权限; 3. 交易 Exchange 合约 是可升级合约,升级权限(proxyAdmin 的 owner)是官方单地址;也就是理论存在官方通过升级合约,然后转走用户 NFT 的可能。 对此,X2Y2 官方回应表示,为降低这种风险,合约的管理权限已经转移到 gnosis 的多签钱包,所有市场合约都有类似转走用户 NFT 的能力。 此后,神鱼再次回复 X2Y2 表示,目前授权合约的确转移给了多签,请 X2Y2 加上时间锁。个人这里说的是交易 Exchange 合约是可升级合约,升级权限(proxyAdmin 的 owner)是官方单地址,也请转移给多签并加上时间锁。 [原文链接]
CoinVoice最新获悉:2 月 18 日,神鱼在社交媒体表示经技术人员查阅,NFT 平台 X2Y2 上挂单交易挖矿模式所采用合约目前存在以下情况: 1. 用户 NFT 授权的是 0xf849de01b080adc3a814fabe1e2087475cf2e354 ERC721Delegate 合约,该合约有 RBAC 的权限管理; 2. 交易 Exchange 合约 0x74312363e45dcaba76c59ec49a7aa8a65a67eed3 拥有通过 ERC721Delegate 合约转移用户 token 的权限; 3. 交易 Exchange 合约 是可升级合约,升级权限(proxyAdmin 的 owner)是官方单地址;也就是理论存在官方通过升级合约,然后转走用户 NFT 的可能。 对此,X2Y2 官方回应表示,为降低这种风险,合约的管理权限已经转移到 gnosis 的多签钱包,所有市场合约都有类似转走用户 NFT 的能力。 此后,神鱼再次回复 X2Y2 表示,目前授权合约的确转移给了多签,请 X2Y2 加上时间锁。个人这里说的是交易 Exchange 合约是可升级合约,升级权限(proxyAdmin 的 owner)是官方单地址,也请转移给多签并加上时间锁。 [原文链接]