Основатель DefiLlama предупредил о серьезной уязвимости NFT-маркетплейса Foundation
Что произошло? Основатель аналитической платформы DefiLlama, известный под ником 0xngmi, полгода назад обнаружил серьезную уязвимость в работе маркетплейса невзаимозаменяемых токенов (NFT) Foundation. По словам 0xngmi, уязвимость до сих пор не устранена, а ее использование позволит взломщику уничтожить все токены, выпущенные на платформе, всего за две транзакции.
Источник: Twitter.com
Подробности об уязвимости. Как отметил программист, для экономии ресурсов при развертывании коллекций на платформе используется один и тот же контракт. Сам по себе такой принцип работы не является проблемным, однако в случае Foundation есть возможность самоуничтожения данного контракта.
По словам 0xngmi, к этому может привести сочетание двух функций платформы. Первая позволяет создателю уничтожить коллекцию и сам контракт на ее развертывание, если в ней отсутствуют NFT. Вторая позволяет уже разработчикам платформы, будучи владельцами контракта, уничтожить его. Программист добавил, что в случае утечки ключей хакер может удержать все NFT для получения выкупа, либо просто их уничтожить.
Основатель DefiLlama подчеркнул, что неизменность и надежность NFT находятся под вопросом, а возможный эксплойт приведет к непоправимому ущербу:
«Все коллекционеры, владеющие токенами на маркетплейсе, предполагают, что их NFT неизменны в блокчейне, ими нельзя манипулировать, а риску могут подвергнуться только метаданные. Однако реальность очень далека от этого, и все NFT находятся всего в двух транзакциях от уничтожения».
По словам 0xngmi, он сообщил об этой проблеме еще шесть месяцев назад, в декабре 2022 года, однако команда Foundation так и не исправила ее.
Ранее компания по кибербезопасности CertiK получила $500 000 за обнаружение уязвимости HamsterWheel в блокчейне Sui. Ее использование могло привести к выводу нод сети из строя.
А в мае эксперты dWallet Labs обнаружили уязвимость в аккаунтах с мультиподписью на блокчейне TRON, которая могла привести к потере 500 млн долларов. Она позволяла обойти механизм мультиподписи и подтвердить транзакцию с помощью всего лишь одной подписи. Проблема была оперативно устранена командой TRON в течение нескольких дней после уведомления в феврале текущего года.
Инвестируйте в SIJU.ME
Воспользуйтесь уникальной возможностью зарабатывать вместе с Signum Journal, приобретая токены SIJU. Инвестируйте в наш журнал крипто новостей и получайте ежедневные % от нашего заработка на рекламе крипто проектов.
Купить токены SIJU с пула ликвидности.
Застейкать токены SIJU для получения ежедневного вознаграждения.
Перейте в Telegram канал проекта.
Русский
简体中文
繁體中文
English
Français
Deutsch
Ελληνικά
עִבְרִית
Italiano
日本語
Português
Español
Türkçe
Українська