​Основатель DefiLlama предупредил о серьезной уязвимости NFT-маркетплейса Foundation

Что произошло? Основатель аналитической платформы DefiLlama, известный под ником 0xngmi, полгода назад обнаружил серьезную уязвимость в работе маркетплейса невзаимозаменяемых токенов (NFT) Foundation. По словам 0xngmi, уязвимость до сих пор не устранена, а ее использование позволит взломщику уничтожить все токены, выпущенные на платформе, всего за две транзакции.

Источник: Twitter.com

Подробности об уязвимости. Как отметил программист, для экономии ресурсов при развертывании коллекций на платформе используется один и тот же контракт. Сам по себе такой принцип работы не является проблемным, однако в случае Foundation есть возможность самоуничтожения данного контракта.

По словам 0xngmi, к этому может привести сочетание двух функций платформы. Первая позволяет создателю уничтожить коллекцию и сам контракт на ее развертывание, если в ней отсутствуют NFT. Вторая позволяет уже разработчикам платформы, будучи владельцами контракта, уничтожить его. Программист добавил, что в случае утечки ключей хакер может удержать все NFT для получения выкупа, либо просто их уничтожить.

Основатель DefiLlama подчеркнул, что неизменность и надежность NFT находятся под вопросом, а возможный эксплойт приведет к непоправимому ущербу:

«‎Все коллекционеры, владеющие токенами на маркетплейсе, предполагают, что их NFT неизменны в блокчейне, ими нельзя манипулировать, а риску могут подвергнуться только метаданные. Однако реальность очень далека от этого, и все NFT находятся всего в двух транзакциях от уничтожения».

По словам 0xngmi, он сообщил об этой проблеме еще шесть месяцев назад, в декабре 2022 года, однако команда Foundation так и не исправила ее.

Ранее компания по кибербезопасности CertiK получила $500 000 за обнаружение уязвимости HamsterWheel в блокчейне Sui. Ее использование могло привести к выводу нод сети из строя.

А в мае эксперты dWallet Labs обнаружили уязвимость в аккаунтах с мультиподписью на блокчейне TRON, которая могла привести к потере 500 млн долларов. Она позволяла обойти механизм мультиподписи и подтвердить транзакцию с помощью всего лишь одной подписи. Проблема была оперативно устранена командой TRON в течение нескольких дней после уведомления в феврале текущего года.