PANews 4月12日消息,GoPocket核心開發者BenLaw此前發推稱,ERC721R 示例合約存在缺陷可導致項目方利用此問題進行RugPull。據慢霧安全團隊初步分析,此缺陷本質上是由於owner 權限過大問題,在ERC721R 示例合約中owner 可以通過setRefundAddress 函數任意設置接收用戶退回的NFT 地址。當此退回地址持有目標NFT 時,其可以通過調用refund 函數不斷的進行退款操作從而耗盡用戶在合約中鎖定的購買資金。且示例合約中存在ownerMint 函數,owner 可在NFT mint 未達總供應量的情況下進行mint。因此ERC721R 的實現仍是防君子不防小人。
慢霧安全團隊建議用戶在參與NFT mint 時不管項目方是否使用ERC721R 都需做好風險評估。