OpenSea 舊合約發現新漏洞，未取消相關授權用戶存在 NFT 被盜風險

ChainCatcher 消息，瀏覽器安全插件 Pocket Universe 表示，Opensea 舊合約上發現一個新漏洞，可用於竊取用戶的 NFT，一旦簽署交易就可能被清空錢包。它可以盜取用戶在 2022 年 5 月之前（即 Seaport 升級之前）在 Opensea 上列出的任何 NFT。

Opensea 此前使用 Wyvern 協議來匹配訂單，當用戶上架 NFT 時會授予代理合約提取 NFT 權限（即通常的 setApprovalForAll 權限），所以這個代理合約有權撤回用戶在 2022 年 5 月之前列出的 NFT。新的漏洞利用會誘使用戶簽署交易，讓攻擊者擁有用戶代理合約的所有權，從而有權提取用戶的 NFT。（來源鏈接）