NFT-платформа Foundation устранила риск сжигания выпущенных токенов

hack_c-min
hack_c-min

Foundation исправила проблему, которую теоретически могли использовать для уничтожения всех выпущенных на платформе NFT.

«Мы исправили это для контрактов, развернутых до 3/6. Контракты, развернутые после 3/6, уже были безопасны владельцу контракта на внедрение было присвоено значение 0. Его нельзя уничтожить», — сообщил соучредитель и CTO Foundation Элпизо Чой в Twitter.

21 июня на уязвимость указал сооснователь DeFi Llama под ником 0xngmi.

Он раскрыл эту информацию спустя шесть месяцев после переговоров с компанией о проблеме.

Согласно The Block, эксперт сообщил команде об уязвимости в декабре 2022 года. В июне Foundation предложила 0xngmi пройти KYC для участия в баунти-программе. Но после этого не было никакого прогресса.

0xngmi предложил проекту решение для устранения проблемы.

Все коллекции NFT в Foundation создаются с помощью единого контракта на развертывание и используют «прокси-сервер пересылки» — конструктивную «фишку», предназначенную для снижения комиссий.

Контракт содержал функцию «самоуничтожения». Она представляла серьезную угрозу для всех коллекций, выпущенных на платформе.

Изначально функция предназначалась для того, чтобы создатели при необходимости могли сжечь собственные коллекции. Одновременно с этим возникал риск для любого NFT, созданного при помощи Foundation.

На момент раскрытия информации контракт был защищен «мультисиг-кошельком с двумя подписями из шести». По словам 0xngmi, учетную запись, защищающую контракт с разработчиком, могли обновить и передать в управление с помощью двух подписей членов команды Foundation или любого, кто имеет к ней доступ.

Проблема заключалась в том, что, если хакер получит контроль над этими двумя ключами, он может удержать все токены для получения выкупа или полностью уничтожить их.

0xngmi объяснил, что разработчики смоделировали атаку и подтвердили, что владелец контракта может заблокировать все NFT.

«Все владельцы выпущенных Foundation токенов предполагают, что их активы неизменяемы в блокчейне и ими нельзя манипулировать. В лучшем случае риску подвергаются только метаданные. В реальности все NFT находятся всего в двух транзакциях от уничтожения», — предупредил сооснователь DeFi Llama.

Напомним, аудитор безопасности смарт-контрактов CertiK получил вознаграждение в размере $500 000 за обнаружение критической уязвимости в блокчейне Sui.

Ранее эксперты BlockSec выявили ошибку в коде лендингового NFT-протокола ParaSpace. Баг угрожал потерей 2900 ETH и неназванного количества токенов коллекции BAYC.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK