Azuki聯合創始人：OpenSea白名單合約存在漏洞_AZU

NFT項目Azuki聯合創始人2PMFLOW.ETH在推特上表示，他注意到最近在OpenSea上出現問題，即：有人能使用可變proxyRegistryAddress成為NFT合約白名單。對于正在進行鑄造NFT的人來說，你們需要了解其中所涉及的風險，因為任何擁有合約所有者密鑰的人都可以在未經您批準的情況下將您的代幣轉移到他們想要的任何錢包地址中。?

Nansen：Azuki和Beanz持有者分別擁有94%、68%的Elementals:6月28日消息，Nansen在推特上就Azuki此前發布的聲明評論表示，Elementals是否為Azuki族社區帶來了新成員？Azuki持有者目前擁有94%的Elementals，Beanz持有者擁有68%的Elementals。

今日消息，Azuki或將向持有者空投“綠豆”NFT。多位社區成員發現，Elemental Beans合約地址部署了新的合約，名為Green Bean即綠豆，NFT總量為10000個，并可被轉移交易。[2023/6/28 22:06:05]

那么，這個操作是如何進行的呢？2PMFLOW.ETH做了以下解釋——?

Azuki空投NFT項目Beanz Official將于5月6日3時開盒:5月5日消息，Azuki 官方在社交媒體上發文表示，Azuki 空投 NFT 項目 Beanz Official 將于北京時間 5 月 6 日 3 時開盒。

據 NFTGo.io 數據顯示，當前 Beanz Official 總交易額已達 1.42 億美元。截止目前，該系列 NFT 24 小時交易額達 383.7 萬美元，增幅達 46.06%，地板價升至 6 ETH，24 小時漲幅為 2.70%。[2022/5/5 2:51:50]

一些NFT項目的合約所有者可以更改

印度教育資助委員會推特賬號遭黑客挾持發布虛假Azuki NFT空投信息:4月11日消息，印度教育資助委員會(UGC)上周日遭遇黑客攻擊，黑客利用該推特賬戶發布虛假的Azuki NFT空投鏈接，并將簡介更改為Azuki NFT 的共同創建者，將頭像換成了與Azuki相關的圖像。該機構在賬號挾持6個小時后收回了該賬號。據悉，UGC在推特上有超29.5萬名粉絲。（Forkast）[2022/4/11 14:17:37]

proxyRegistryAddress以指向他們自己的外部合約，而不是OpenSea的。在這種情況下，NFT項目合約所有者可以讓他們的錢包代表你的錢包，以便他們可以代表你移動代幣。?

也許你會說：“只有開發團隊擁有所有者密鑰，我相信他們！”可即便如此，就算你相信NFT項目開發團隊，但密鑰依然可能被泄露，因為黑客會利用這個漏洞來攻擊NFT項目開發團隊，當其他人被黑客入侵時，您是否希望自己的錢包也被掏空？2PMFLOW.ETH認為，軟件開發是要權衡取舍，但是不能讓開發人員在鑄造NFT之后繼續控制代幣所有權，而且在合約中也應該約定不允許這種行為發生，這點非常重要。?“不能作惡”>“不去作惡”。?

2PMFLOW.ETH透露，他們注意到一些即將啟動的NFT項目存在此問題。支持OpenSea白名單的更安全的替代方案其實非常簡單，只需在構造函數中設置OpenseaproxyRegistryAddress并使其不可變，操作也只需要短短2分鐘即可完成部署。?

來源鏈接

Tags：NFTAZUAZUKIZUKInft幣未來價格還有上漲空間嗎SHAZUHIAZUKI

Polygon