慢雾称 ERC721R 示例合约缺陷，本质上是由于所有者权限过大

Go Pocket 核心开发者 Ben 称，ERC721R 示例合约存在缺陷可导致项目方利用此问题进行 RugPull。据慢雾安全团队初步分析，此缺陷本质上是由于所有者权限过大问题，在 ERC721R 示例合约中所有者可以通过 setRefundAddress 函数任意设置接收用户退回的 NFT 地址。