Фонд платформы NFT утверждает, что устранил проблемы, связанные с функцией самоуничтожения, которая теоретически могла быть использована для уничтожения всех NFT, отчеканенных через его платформу.
Проблема была первой выделен публично 21 июня 0xngmi, соучредитель провайдера криптоаналитики DeFiLlama, после шестимесячного периода переговоров с компанией по раскрытию и устранению проблемы.
«Это было исправлено для контрактов, развернутых до 06.03. сказал Соучредитель фонда и технический директор Эльпизо Чой на Twitter. «Контракты, развернутые после 3/6, уже были в безопасности — владелец контракта на реализацию был установлен на 0, и контракт не мог быть самоуничтожен.«
В чем проблема?
Все коллекции NFT в Foundation чеканятся с использованием одного контракта развертывания и используют «прокси-сервер пересылки», особенность конструкции, предназначенную для снижения комиссий за транзакции во время развертывания контракта.
Это само по себе не имеет значения — это тот факт, что договор содержал функцию «самоуничтожения», которая представляла серьезную угрозу для всех коллекций, отчеканенных на платформе. Первоначально эта функция предназначалась для того, чтобы позволить создателям уничтожать (или сжигать) свои собственные коллекции, если это необходимо, но она создавала проблемы. риск для любого NFT, созданного с его помощью.
На момент раскрытия информации контракт был обеспечен «Кошелек с мультиподписью 2 из 6», что означает, что учетная запись, защищающая контракт развертывателя, может быть обновлена и передана с двумя подписями членов команды Фонда или любого, кто имеет к ней доступ, на 0xngmi.
Опасения заключались в том, что если хакер получит контроль над этими двумя ключами, он может удержать все NFT для выкупа или полностью их уничтожить. 0xngmi объяснил в GitHub почта они смоделировали атаку и убедились, что владелец контракта может заблокировать все NFT.
«Все коллекционеры, владеющие предметами Фонда, предполагают, что их NFT неизменны в блокчейне и ими нельзя манипулировать. В лучшем случае риску подвергаются только метаданные», 0xngmi написал на Twitter. «Однако реальность очень далека от этого, все NFT находятся всего в двух транзакциях от уничтожения».
Раскрытие проблемы
0xngmi заявил, что впервые уведомил Foundation об уязвимости в декабре 2022 года. добавлен что 19 июня платформа ответила, поручив 0xngmi представить проблему в свою программу вознаграждений и завершить процесс KYC. С тех пор, по его словам, не было никакого прогресса, и 0xngmi не получал никаких дальнейших сообщений от Foundation, сообщили они The Block.
0xngmi предложил собственное решение проблемы. По его словам, создайте NFT с адреса реализации, а затем отправьте его на адрес горелки, эффективно устранив ошибку.
Foundation составляет небольшую долю индустрии рынка NFT. По данным The Block Data Dashboard, в мае 2023 года фирма заработала 1,42 миллиона долларов, или 0,2%, от общего объема в 673,6 миллиона долларов. Платформа Blur принесла большую часть месячного объема за май — 377,2 млн долларов, или 56%.
Фонд не ответил на запрос The Block о комментариях относительно уязвимости NFT.
