OpenSea旧合约发现新漏洞，未取消相关授权用户存在NFT被盗风险

BlockBeats 消息，10 月 28 日，浏览器安全插件 Pocket Universe 表示，Opensea 旧合约上发现一个新漏洞，可用于窃取用户的 NFT，一旦签署交易就可能被清空钱包。它可以盗取用户在 2022 年 5 月之前（即 Seaport 升级之前）在 Opensea 上列出的任何 NFT。 Opensea 此前使用 Wyvern 协议来匹配订单，当用户上架 NFT 时会授予代理合约提取 NFT 权限（即通常的 setApprovalForAll 权限），所以这个代理合约有权撤回用户在 2022 年 5 月之前列出的 NFT。新的漏洞利用会诱使用户签署交易，让攻击者拥有用户代理合约的所有权，从而有权提取用户的 NFT。 慢雾创始人余弦回应称，需要警惕这个老问题新利用，与 OpenSea 旧协议有关，但旧协议许多用户并没都取消相关授权。