CoinVoice最新获悉:7 月 1 日,据慢雾安全团队情报,Optimism 生态最大 NFT 平台 Quixotic 出现严重漏洞,大量用户资产被盗,提示在该市场上进行过交易的用户尽快取消授权。 慢雾表示,在市场合约的「fillSellOrder 函数」中仅对卖单进行了检查,并未对「buyer」的买单做检查。故攻击者首先创建了任意的 NFT 合约,调用「fillSellOrder 函数」生成卖单,将「buyer 参数」传为受害者地址、paymentERC20 参数传为需要盗取的 Token 地址,即可将对该市场合约有授权的用户的 Token 转走获利。[原文链接]
CoinVoice最新获悉:7 月 1 日,据慢雾安全团队情报,Optimism 生态最大 NFT 平台 Quixotic 出现严重漏洞,大量用户资产被盗,提示在该市场上进行过交易的用户尽快取消授权。 慢雾表示,在市场合约的「fillSellOrder 函数」中仅对卖单进行了检查,并未对「buyer」的买单做检查。故攻击者首先创建了任意的 NFT 合约,调用「fillSellOrder 函数」生成卖单,将「buyer 参数」传为受害者地址、paymentERC20 参数传为需要盗取的 Token 地址,即可将对该市场合约有授权的用户的 Token 转走获利。[原文链接]