据币圈子此前报导,为了改善币圈Rug Pull猖獗,Exodia创办人Elie Steinbock等人在10日提出一个新代币标准ERC721R,旨在允许铸币者在一定期间内,可以申请退回当初铸造的资金。然而,如今却有不少人示警,RugPull风险仍然存在。
存在致命BUG?
GoPocket核心开发者Ben Law12日就在推特上警告,ERC721R代码存在致命BUG,由于缺少对退款接收地址的限制条件,开发者可通过bug,在ERC721R的限制期内抽走NFT合约中的资金,进而绕开协议约束,实现RugPull。
Ben Law解释道,ERC721R的退款refund()函数存在问题:问题出在退款refund()函数上:NFT的买家调用refund()后会将他mint的NFT转到refund Address(该地址由开发者指定并控制),然后从NFT合约中拿到相应数量的以太。但如果refund Address本身就mint了NFT呢?骗子开发者设置一个refund Address,然后用该地址mint一个NFT。下一步他直接调用退款函数refund()。因为所有的NFT都会退款到该refund Address,所以他在拿到了一些以太的同时还持有着这个NFT。他可以不断调用refund来掏空合约里的钱。
Ben Law最后提醒,这个BUG直接让ERC721R变得形同虚设,开发者还是可以携款跑路,而且在7天无理由退款情况下,开发者的意图能隐藏得更深,故建议新的NFT项目在ERC721R更新之前,不应该直接使用其代码。
慢雾发出安全警告
与此同时,区块链安全公司慢雾(SlowMist)也同样在推特上针对ERC721R发出安全警告,指出NFT项目方可以利用ERC721R合约中的一个bug来发起RugPull,而经慢雾安全团队初步分析,这种缺陷本质上是由于owner权限过大问题所导致。
慢雾解释道:在ERC721R示例合约中,owner可以通过setRefund Address函数任意设置接收用户退回的NFT地址。当此退回地址持有目标NFT时,可以通过调用refund函数,不断地进行退款操作。合约中还有一个ownerMint函数,允许所有者在未达到总供应量时进行铸币。慢雾安全团队建议,所有用户在参与NFT铸币时应进行风险评估,无论项目方是否使用ER721R标准。
ERC721R合约将修正问题
在bug问题被爆出后,ElieSteinbock今日回应,已注意到相关问题,并将进行修正:ERC721R在发布之前,仍在进行一些修正和全面审计,我们知悉创作者可以无限退款。很高兴听到您注意到的其他问题
