[研究人员:EIP-721标准内“setApprovalForAll”函数风险性极高]4月16日消息,在周杰伦NFT被盗之后,研究人员RomanZaikin、DiklaBarda和OdedVanunu开始调查NFT常用的EIP-721标准,结果发现欺诈者可以引诱用户点击恶意NFT的链接,然后通过该标准内一个名为setApprovalForAll的函数控制受害者账户,该函数可以授权任何人控制NFT,其设计初衷是为了让Rarible和OpenSea等第三方能够代表用户控制NFT。
一旦该函数完成授权,攻击者就可以通过使用合约上的transferFrom函数将受害者名下的所有NFT转移到自己的账户。研究人员表示,该功能在设计上非常危险,用户并不总是清楚他们通过签署交易给予了哪些权限。大多数时候,受害者认为这些仅为常规交易。(TheRegister)
其它快讯:
研究人员:DeFi比传统金融科技公司更具优势:Nansen联合创始人、数据科学家Alex Svanevik表示,与金融科技和传统服务提供商相比,DeFi从长远来看具有关键优势,因为其拥有较低的进入门槛,使用以太坊或其他加密货币的任何人都可以使用DeFi服务。(u.today)[2020/10/5]
动态 | Plasma Group前研究人员筹集350万美元建立新公司:金色财经报道,以太坊Plasma Group前研究人员于2019年底组建的新公司Optimism已经从加密风险基金Paradigm和设计公司IDEO筹集了350万美元的种子轮资金。该公司专注于实施以太坊扩展解决方案Optimistic Rollup。[2020/1/16]
声音 | 研究人员:黑客修改StatCounter分析平台使用的avaScript并嵌入Gate.io页面:据theregister消息,ESET的研究人员发现,StatCounter分析平台使用的JavaScript已经被攻击者修改,其目的是将其嵌入到加密货币交易所Gate.io的页面中。据悉,该脚本试图将比特币交易重定向到攻击者控制的几个钱包地址之一。研究人员称,由于攻击者使用多个帐户来接收被盗资金,所以并不能确切知道被盗的数量。然而,他们认为损失可能很大。ESET表示已通知两家公司此次袭击事件,但目前尚未收到Gate.io回复评论请求,也无法联系到StatCounter。[2018/11/7]
郑重声明: 研究人员:EIP-721标准内“setApprovalForAll”函数风险性极高版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。