CoinVoice最新获悉:4 月 16 日,据 TheRegister 报道,在周杰伦 NFT 被盗之后,研究人员 Roman Zaikin、Dikla Barda 和 Oded Vanunu 开始调查 NFT 常用的 EIP-721 标准,结果发现欺诈者可以引诱用户点击恶意 NFT 的链接,然后通过该标准内一个名为「setApprovalForAll」的函数控制受害者账户,该函数可以授权任何人控制 NFT,其设计初衷是为了让 Rarible 和 OpenSea 等第三方能够代表用户控制 NFT。一旦该函数完成授权,攻击者就可以通过使用合约上的 transferFrom 函数将受害者名下的所有 NFT 转移到自己的账户。 研究人员表示,该功能在设计上非常危险,用户并不总是清楚他们通过签署交易给予了哪些权限。大多数时候,受害者认为这些仅为常规交易。
CoinVoice最新获悉:4 月 16 日,据 TheRegister 报道,在周杰伦 NFT 被盗之后,研究人员 Roman Zaikin、Dikla Barda 和 Oded Vanunu 开始调查 NFT 常用的 EIP-721 标准,结果发现欺诈者可以引诱用户点击恶意 NFT 的链接,然后通过该标准内一个名为「setApprovalForAll」的函数控制受害者账户,该函数可以授权任何人控制 NFT,其设计初衷是为了让 Rarible 和 OpenSea 等第三方能够代表用户控制 NFT。一旦该函数完成授权,攻击者就可以通过使用合约上的 transferFrom 函数将受害者名下的所有 NFT 转移到自己的账户。 研究人员表示,该功能在设计上非常危险,用户并不总是清楚他们通过签署交易给予了哪些权限。大多数时候,受害者认为这些仅为常规交易。