在周杰伦NFT被盗之后，研究人员RomanZaikin、DiklaBarda和OdedVanunu开始调查NFT常用的EIP-721标准，结果发现欺诈者可以引诱用户点击恶意NFT的链接，然后通过该标准内一个名为setApprovalForAll的函数控制受害者账户，该函数可以授权任何人控制NFT，其设计初衷是为了让Rarible和OpenSea等第三方能够代表用户控制NFT。 一旦该函数完成授权，pitchbook攻击者就可以通过使用合约上的transferFrom函数将受害者名下的所有NFT转移到自己的账户。研究人员表示，该功能在设计上非常危险，用户并不总是清楚他们通过签署交易给予了哪些权限。大多数时候，受害者认为这些仅为常规交易。