Skip to content
Home | 開發者提出「ERC721R」漏洞警示

開發者提出「ERC721R」漏洞警示

開發者 BenWAGMI 在其 Twitter 表示,他發現了 ERC721R 的重大漏洞,作惡者能調用退款 refund() 函式,掏空所有退款地址中的資金。

BenWAGMI 指出:「正常情況下,在 refundEndTime 解鎖過期後 NFT 開發者調用 withdraw() 函數來取走籌集的 ETH。這一步沒有問題。」但是,退款 refund() 函數會有漏洞產生。

BenWAGMI 說明,NFT 的買家調用 refund() 後,會將他 mint 的 NFT 轉到 refundAddress (該地址由開發者指定並控制),然後從 NFT 合約中拿到相應數量的以太。但如果作惡者在一開始就讓 refundAddress 本身就鑄造 NFT,他將可以一直調用 refund() 來掏空退款地址中的資金。

Leave a Reply

Your email address will not be published.