今天审一个NFT项目的智能合约代码，看到transferFrom函数那里写得乱七八糟的...有个哥们居然在require检查之前就直接修改了ownerOf的状态，这不就是经典的重入攻击风险吗？ 搞了半天才发现是想省gas费，但是这种优化完全没必要啊，安全第一好吧。还有那个tokenId生成逻辑，用了block.timestamp做随机数种子，这也太随意了吧，明天下跌停板都算准了似的。话说回来，现在这些NFT项目代码质量真是参差不齐，有时候感觉像是copy paste出来的...哎，还是得多review几遍稳妥点。