OpenSea 구 계약에서 새로운 취약점 발견, 관련 권한을 취소하지 않은 사용자에게 NFT 도난 위험 존재

ChainCatcher 메시지에 따르면, 브라우저 보안 플러그인 Pocket Universe는 Opensea의 구형 계약에서 새로운 취약점을 발견했다고 전했습니다. 이 취약점은 사용자의 NFT를 훔치는 데 사용될 수 있으며, 거래에 서명하면 지갑이 비워질 수 있습니다. 이 취약점은 사용자가 2022년 5월 이전(즉, Seaport 업그레이드 이전)에 Opensea에 나열한 모든 NFT를 탈취할 수 있습니다.

Opensea는 이전에 Wyvern 프로토콜을 사용하여 주문을 매칭했으며, 사용자가 NFT를 나열할 때 에이전트 계약에 NFT 추출 권한(즉, 일반적인 setApprovalForAll 권한)을 부여했습니다. 따라서 이 에이전트 계약은 사용자가 2022년 5월 이전에 나열한 NFT를 철회할 권한이 있습니다. 새로운 취약점은 사용자가 거래에 서명하도록 유도하여 공격자가 사용자의 에이전트 계약의 소유권을 가지게 하여 사용자의 NFT를 추출할 수 있는 권한을 부여합니다.（출처 링크）