OpenSea 旧合约发现新漏洞，未取消相关授权用户存在 NFT 被盗风险

ChainCatcher 消息，浏览器安全插件 Pocket Universe 表示，Opensea 旧合约上发现一个新漏洞，可用于窃取用户的 NFT，一旦签署交易就可能被清空钱包。它可以盗取用户在 2022 年 5 月之前（即 Seaport 升级之前）在 Opensea 上列出的任何 NFT。

Opensea 此前使用 Wyvern 协议来匹配订单，当用户上架 NFT 时会授予代理合约提取 NFT 权限（即通常的 setApprovalForAll 权限），所以这个代理合约有权撤回用户在 2022 年 5 月之前列出的 NFT。新的漏洞利用会诱使用户签署交易，让攻击者拥有用户代理合约的所有权，从而有权提取用户的 NFT。