OpenSea舊合約發現新漏洞，未取消相關授權用戶存在NFT被盜風險

BlockBeats 消息，10 月 28 日，瀏覽器安全插件 Pocket Universe 表示，Opensea 舊合約上發現一個新漏洞，可用於竊取用戶的 NFT，一旦簽署交易就可能被清空錢包。它可以盜取用戶在 2022 年 5 月之前（即 Seaport 升級之前）在 Opensea 上列出的任何 NFT。 Opensea 此前使用 Wyvern 協議來匹配訂單，當用戶上架 NFT 時會授予代理合約提取 NFT 權限（即通常的 setApprovalForAll 權限），所以這個代理合約有權撤回用戶在 2022 年 5 月之前列出的 NFT。新的漏洞利用會誘使用戶簽署交易，讓攻擊者擁有用戶代理合約的所有權，從而有權提取用戶的 NFT。 慢霧創始人餘弦回應稱，需要警惕這個老問題新利用，與 OpenSea 舊協議有關，但舊協議許多用戶並沒都取消相關授權。

原文連結