PANews 2月5日消息,NFT项目Azuki联合创始人2PMFLOW.ETH在推特上表示,他注意到最近在OpenSea上出现问题,即:有人能使用可变proxyRegistryAddress成为NFT合约白名单。对于正在进行铸造NFT的人来说,你们需要了解其中所涉及的风险,因为任何拥有合约所有者密钥的人都可以在未经您批准的情况下将您的代币转移到他们想要的任何钱包地址中。
那么,这个操作是如何进行的呢?2PMFLOW.ETH做了以下解释——
一些NFT项目的合约所有者可以更改proxyRegistryAddress以指向他们自己的外部合约,而不是OpenSea的。在这种情况下,NFT项目合约所有者可以让他们的钱包代表你的钱包,以便他们可以代表你移动代币。
也许你会说:“只有开发团队拥有所有者密钥,我相信他们!”可即便如此,就算你相信NFT项目开发团队,但密钥依然可能被泄露,因为黑客会利用这个漏洞来攻击NFT项目开发团队,当其他人被黑客入侵时,您是否希望自己的钱包也被掏空?2PMFLOW.ETH认为,软件开发是要权衡取舍,但是不能让开发人员在铸造NFT之后继续控制代币所有权,而且在合约中也应该约定不允许这种行为发生,这点非常重要。“不能作恶” >“不去作恶”。
2PMFLOW.ETH透露,他们注意到一些即将启动的NFT项目存在此问题。支持OpenSea白名单的更安全的替代方案其实非常简单,只需在构造函数中设置Opensea proxyRegistryAddress并使其不可变,操作也只需要短短2分钟即可完成部署。