BTC $58,607.35 -0.95%
ETH $1,571.39 -0.47%
BNB $542.29 -0.93%
XRP $1.03 -0.11%
SOL $74.84 +1.84%
TRX $0.3167 -0.21%
DOGE $0.0709 -1.38%
ADA $0.1506 +4.47%
BCH $204.95 +2.40%
LINK $7.22 -0.63%
HYPE $62.69 -4.94%
AAVE $86.09 -2.94%
SUI $0.6992 +1.18%
XLM $0.1971 +11.14%
ZEC $394.68 +1.15%
BTC $58,607.35 -0.95%
ETH $1,571.39 -0.47%
BNB $542.29 -0.93%
XRP $1.03 -0.11%
SOL $74.84 +1.84%
TRX $0.3167 -0.21%
DOGE $0.0709 -1.38%
ADA $0.1506 +4.47%
BCH $204.95 +2.40%
LINK $7.22 -0.63%
HYPE $62.69 -4.94%
AAVE $86.09 -2.94%
SUI $0.6992 +1.18%
XLM $0.1971 +11.14%
ZEC $394.68 +1.15%

OpenSea 구 계약에서 새로운 취약점 발견, 관련 권한을 취소하지 않은 사용자에게 NFT 도난 위험 존재

2022-10-28 17:13:04
수집

ChainCatcher 메시지에 따르면, 브라우저 보안 플러그인 Pocket Universe는 Opensea의 구형 계약에서 새로운 취약점을 발견했다고 전했습니다. 이 취약점은 사용자의 NFT를 훔치는 데 사용될 수 있으며, 거래에 서명하면 지갑이 비워질 수 있습니다. 이 취약점은 사용자가 2022년 5월 이전(즉, Seaport 업그레이드 이전)에 Opensea에 나열한 모든 NFT를 탈취할 수 있습니다.

Opensea는 이전에 Wyvern 프로토콜을 사용하여 주문을 매칭했으며, 사용자가 NFT를 나열할 때 에이전트 계약에 NFT 추출 권한(즉, 일반적인 setApprovalForAll 권한)을 부여했습니다. 따라서 이 에이전트 계약은 사용자가 2022년 5월 이전에 나열한 NFT를 철회할 권한이 있습니다. 새로운 취약점은 사용자가 거래에 서명하도록 유도하여 공격자가 사용자의 에이전트 계약의 소유권을 가지게 하여 사용자의 NFT를 추출할 수 있는 권한을 부여합니다.(출처 링크

app_icon
ChainCatcher Building the Web3 world with innovations.