NFT 項目 Azuki 共同創辦人 2PMFLOW.ETH 發推文表示, OpenSea 白名單合約存在漏洞,讓擁有合約持有者私鑰的人能在未經授權下轉移代幣,且一些即將上架的 NFT 項目就存在此問題,但僅需將 proxyRegistryAddress 設為不可變,即可解決。另外,任天堂總裁雖稱元宇宙具「巨大潛力」,但目前不認為現在會是個好的時機點。
(前情提要: 獲利近150顆以太幣!駭客再度利用OpenSea「漏洞」低買高賣Cool Cat、BAYC)
NFT 項目 Azuki 共同創辦人 2PMFLOW.ETH 4 日在推特上表示,NFT 交易平台 OpenSea 上最近出現白名單合約的漏洞問題。
注意到最近市場上有種趨勢出現,有人能使用可變 proxyRegistryAddress 列入 NFT 合約白名單。
公告:鑄造者在鑄造項目 NFT 時,應了解正涉及到的風險,即任何擁有合約所有者私鑰的人,皆能在未經用戶批准的情況下將代幣轉移到他們想要的錢包地址中。
Noticing a trend where recent NFT contracts are whitelisting OpenSea with a mutable proxyRegistryAddress.
PSA: minters, you should understand the risks involved. Anyone with the contract owner key can transfer your token to any wallet they want without your approval. pic.twitter.com/QJADLISlw5
— 2PMFLOW.ETH (@2pmflow) February 3, 2022
那他們是如何辦到的呢?2PMFLOW.ETH 接續表示,合約持有者可以更改 proxyRegistryAddress 並使其指向外部合約,而非 OpenSea 平台上的合約;透過此舉,便可讓合約持有者透過他們的錢包來假裝代表用戶錢包,讓他們有辦法轉移代幣。
當然,你可能會覺得「只有開發團隊擁有合約所有者的私鑰,然後我相信他們」2PMFLOW.ETH 解釋:
即便你相信團隊不會這麼做,但私鑰還有被洩漏的風險,難道你會希望別人被駭客入侵時,你的錢包項目也連帶遭受波及嗎?
而且,2PMFLOW.ETH 還表示,我不認為開發人員有任何理由握有代幣的所有權,這在合約中應是不被允許的:
我們也注意到一些即將上架的 NFT 項目就存在此一問題。
但此問題也不是無法解決的,僅須在建構函數中將 Opensea proxyRegistryAddress 設為不可變,短短 2 分鐘的替代方案,就可以讓支持 OpenSea 白名單更安全。
We’re noticing some projects about to launch which have this issue. A safer alternative for supporting OpenSea whitelisting- just set the Opensea proxyRegistryAddress in the constructor and make it immutable, takes 2 minutes. DMs are open, happy to assist!
— 2PMFLOW.ETH (@2pmflow) February 3, 2022
任天堂總裁:元宇宙具「巨大潛力」,但尚未準備好開始探索
別於 PlayStation 之父久夛良木健,先前
元宇宙正在吸引全球許多公司的關注,我們相信它具有巨大的潛力。
在官方釋出的逐字稿中,谷川俊太郎接續表示,媒體每當提到元宇宙題材時,不免都會拿遊戲「動物森友會」作為例子,從這個意義上來說,我們對它很感興趣。
延伸閱讀:蘋果 CEO 庫克:觀察到元宇宙巨大潛力、正探索新技術;富達向SEC申請Metaverse ETF
雖然谷川對於元宇宙的題材與潛力抱持積極態度,卻對外表示任天堂公司還沒有準備好開始探索這類型題材:
任天堂公司需要找出自己探索元宇宙的方法。
谷川在逐字稿中接續表示,最為一家提供娛樂的遊戲公司,我們很難定義虛擬世界可以為客戶提供什麼樣的驚喜與樂趣,所以我們必須考慮如何提供這樣的方法。
如果我們可以找到一種簡單易懂的方式,向外界傳達我們的「任天堂方法」,我們或許可以商討出一些點子。
但我不認為現在會是個好的時機點。
