研究人員：EIP-721標準內“setApprovalForAll”函數風險性極高

在周杰倫NFT被盜之后，研究人員Roman Zaikin、Dikla Barda 和 Oded Vanunu開始調查NFT常用的EIP-721標準，結果發現欺詐者可以引誘用戶點擊惡意NFT的鏈接，然后通過該標準內一個名為“setApprovalForAll”的函數控制受害者賬戶，該函數可以授權任何人控制NFT，其設計初衷是為了讓Rarible和OpenSea等第三方能夠代表用戶控制NFT。一旦該函數完成授權，攻擊者就可以通過使用合約上的transferFrom函數將受害者名下的所有NFT轉移到自己的賬戶。

研究人員表示，該功能在設計上非常危險，用戶并不總是清楚他們通過簽署交易給予了哪些權限。大多數時候，受害者認為這些僅為常規交易。（TheRegister）