Основатель DefiLlama предупредил о серьезной уязвимости NFT-маркетплейса Foundation
Эксплойт может привести к потере токенов платформы всего за две транзакции
21.06.2023 - 09:20
823
4 мин
0
Что произошло? Основатель аналитической платформы DefiLlama, известный под ником 0xngmi, полгода назад обнаружил серьезную уязвимость в работе маркетплейса невзаимозаменяемых токенов (NFT) Foundation. По словам 0xngmi, уязвимость до сих пор не устранена, а ее использование позволит взломщику уничтожить все токены, выпущенные на платформе, всего за две транзакции.
Подробности об уязвимости. Как отметил программист, для экономии ресурсов при развертывании коллекций на платформе используется один и тот же контракт. Сам по себе такой принцип работы не является проблемным, однако в случае Foundation есть возможность самоуничтожения данного контракта.
По словам 0xngmi, к этому может привести сочетание двух функций платформы. Первая позволяет создателю уничтожить коллекцию и сам контракт на ее развертывание, если в ней отсутствуют NFT. Вторая позволяет уже разработчикам платформы, будучи владельцами контракта, уничтожить его. Программист добавил, что в случае утечки ключей хакер может удержать все NFT для получения выкупа, либо просто их уничтожить.
Основатель DefiLlama подчеркнул, что неизменность и надежность NFT находятся под вопросом, а возможный эксплойт приведет к непоправимому ущербу:
«Все коллекционеры, владеющие токенами на маркетплейсе, предполагают, что их NFT неизменны в блокчейне, ими нельзя манипулировать, а риску могут подвергнуться только метаданные. Однако реальность очень далека от этого, и все NFT находятся всего в двух транзакциях от уничтожения».
По словам 0xngmi, он сообщил об этой проблеме еще шесть месяцев назад, в декабре 2022 года, однако команда Foundation так и не исправила ее.
Ранее компания по кибербезопасности CertiK получила $500 000 за обнаружение уязвимости HamsterWheel в блокчейне Sui. Ее использование могло привести к выводу нод сети из строя.
А в мае эксперты dWallet Labs обнаружили уязвимость в аккаунтах с мультиподписью на блокчейне TRON, которая могла привести к потере 500 млн долларов. Она позволяла обойти механизм мультиподписи и подтвердить транзакцию с помощью всего лишь одной подписи. Проблема была оперативно устранена командой TRON в течение нескольких дней после уведомления в феврале текущего года.
Полезный материал?
Майнинг
Ограничения призваны сохранить баланс энергопотребления с учетом запросов промышленности
24 дек. 2024 г.
Рынки
Из-за дефицита предложения курс актива на премаркете поднимался выше $1000
16 дек. 2024 г.
Происшествия
Сообщения о взломе биржи с призывами выводить активы начали распространяться 13 декабря
13 дек. 2024 г.
Крипторегулирование
Изменения не затронут стейблкоины от эмитента Circle
12 дек. 2024 г.
Крипторегулирование
Платформа запустится после выполнения предварительных условий местного валютного управления
9 дек. 2024 г.
Рынки
Показатель в 1,1 млрд долларов был достигнут после коррекции биткоина
6 дек. 2024 г.