慢霧：ERC721R示例合約存在缺陷，本質上是由于owner權限過大問題

星球日報訊 據@BenWAGMI消息，ERC721R示例合約存在缺陷可導致項目方利用此問題進行RugPull。慢霧安全團隊初步分析表示，此缺陷本質上是由于owner權限過大問題，在ERC721R示例合約中owner可以通過setRefundAddress函數任意設置接收用戶退回的NFT地址。當此退回地址持有目標NFT時，其可以通過調用refund函數不斷的進行退款操作從而耗盡用戶在合約中鎖定的購買資金。且示例合約中存在ownerMint函數，owner可在NFT mint未達總供應量的情況下進行mint。因此ERC721R的實現仍是防君子不防小人。

此外，慢霧安全團隊建議用戶在參與NFT mint時不管項目方是否使用ERC721R都需做好風險評估。