BlockSec在社交媒体上表示,由于代码没有开源,Unibot怀疑0x126c合约中的函数0xb2bd16ab缺乏输入验证,因此允许任意调用。所以,攻击者可以调用“transferFrom“转出合同中批准的代币。请尽快撤销批准。
