PANews 2月5日消息, NFT項目Azuki聯合創始人2PMFLOW.ETH在推特上表示,他注意到最近在OpenSea上出現問題,即:有人能使用可變proxyRegistryAddress成為NFT合約白名單。對於正在進行鑄造NFT的人來說,你們需要了解其中所涉及的風險,因為任何擁有合約所有者密鑰的人都可以在未經您批准的情況下將您的代幣轉移到他們想要的任何錢包地址中。
那麼,這個操作是如何進行的呢? 2PMFLOW.ETH做了以下解釋——
一些NFT項目的合約所有者可以更改proxyRegistryAddress以指向他們自己的外部合約,而不是OpenSea的。在這種情況下, NFT項目合約所有者可以讓他們的錢包代表你的錢包,以便他們可以代表你移動代幣。
也許你會說:“只有開發團隊擁有所有者密鑰,我相信他們!”可即便如此,就算你相信NFT項目開發團隊,但密鑰依然可能被洩露,因為黑客會利用這個漏洞來攻擊NFT項目開發團隊,當其他人被黑客入侵時,您是否希望自己的錢包也被掏空? 2PMFLOW.ETH認為,軟件開發是要權衡取捨,但是不能讓開發人員在鑄造NFT之後繼續控制代幣所有權,而且在合約中也應該約定不允許這種行為發生,這點非常重要。 “不能作惡” > “不去作惡” 。
2PMFLOW.ETH透露,他們注意到一些即將啟動的NFT項目存在此問題。支持OpenSea白名單的更安全的替代方案其實非常簡單,只需在構造函數中設置Opensea proxyRegistryAddress並使其不可變,操作也只需要短短2分鐘即可完成部署。