慢雾：Optimism 最大 NFT 平台 Quixotic 出现漏洞，大量用户资产被盗

链捕手消息，据慢雾安全团队情报，2022年 7 月 1 号，Optimism 生态最大 NFT 平台 Quixotic 出现严重漏洞，大量用户资产被盗，提醒在该市场上进行过交易的用户尽快取消授权。

据悉，平台在市场合约的 fillSellOrder 函数中仅对卖单进行了检查，并未对买家的买单做检查。故攻击者首先创建了任意的 NFT 合约，调用 fillSellOrder 函数生成卖单，将 buyer 参数传为受害者地址、paymentERC20 参数传为需要盗取的代币地址，即可将对该市场合约有授权的用户的代币转走获利。

用户可利用 Optimism 官方浏览器的授权管理功能 https://optimistic.etherscan.io/tokenapprovalchecker 查看或者取消授权。