PANews 7月1日消息,據慢霧安全團隊情報,Optimism生態最大NFT平台Quixotic出現嚴重漏洞,大量用戶資產被盜,請在該市場上進行過交易的用戶盡快取消授權。
在市場合約的fillSellOrder函數中僅對賣單進行了檢查,並未對buyer的買單做檢查。故攻擊者首先創建了任意的NFT合約,調用fillSellOrder函數生成賣單,將buyer參數傳為受害者地址、paymentERC20參數傳為需要盜取的代幣地址,即可將對該市場合約有授權的用戶的代幣轉走獲利。
PANews App
나의 Web3 정보관
PANews 7月1日消息,據慢霧安全團隊情報,Optimism生態最大NFT平台Quixotic出現嚴重漏洞,大量用戶資產被盜,請在該市場上進行過交易的用戶盡快取消授權。
在市場合約的fillSellOrder函數中僅對賣單進行了檢查,並未對buyer的買單做檢查。故攻擊者首先創建了任意的NFT合約,調用fillSellOrder函數生成賣單,將buyer參數傳為受害者地址、paymentERC20參數傳為需要盜取的代幣地址,即可將對該市場合約有授權的用戶的代幣轉走獲利。