PANews 7月1日消息,据慢雾安全团队情报,Optimism生态最大NFT平台Quixotic出现严重漏洞,大量用户资产被盗,请在该市场上进行过交易的用户尽快取消授权。
在市场合约的fillSellOrder函数中仅对卖单进行了检查,并未对buyer的买单做检查。故攻击者首先创建了任意的NFT合约,调用fillSellOrder函数生成卖单,将buyer参数传为受害者地址、paymentERC20参数传为需要盗取的代币地址,即可将对该市场合约有授权的用户的代币转走获利。
PANews 7月1日消息,据慢雾安全团队情报,Optimism生态最大NFT平台Quixotic出现严重漏洞,大量用户资产被盗,请在该市场上进行过交易的用户尽快取消授权。
在市场合约的fillSellOrder函数中仅对卖单进行了检查,并未对buyer的买单做检查。故攻击者首先创建了任意的NFT合约,调用fillSellOrder函数生成卖单,将buyer参数传为受害者地址、paymentERC20参数传为需要盗取的代币地址,即可将对该市场合约有授权的用户的代币转走获利。