Foundation устранила потенциальную проблему, которая могла быть использована для уничтожения всех созданных на их платформе NFT.
«Мы исправили это для контрактов, развернутых до 3/6. Контракты, развернутые после 3/6, уже были безопасны — владельцу контракта на внедрение было присвоено значение 0. Его нельзя уничтожить», — сообщил соучредитель и CTO Foundation Элпизо Чой в Twitter.
21 июня сооснователь DeFiLlama под псевдонимом 0xngmi указал на уязвимость, которая была обнаружена на платформе. Он предоставил эту информацию компании после шести месяцев переговоров о проблеме.
Согласно The Block, эксперт сообщил команде о данной уязвимости в декабре 2022 года. В июне Foundation предложила 0xngmi пройти KYC-проверку для участия в программе по вознаграждению. Однако после этого не было заметного прогресса.
0xngmi предложил проекту свое решение для устранения данной проблемы.
В Foundation все коллекции NFT создаются при помощи единого контракта для развертывания, который использует "прокси-сервер пересылки" — особую функцию, предназначенную для снижения комиссий.
Однако в контракте существовала функция "самоуничтожения", которая представляла серьезную угрозу для всех коллекций, выпущенных на платформе.
Изначально эта функция задумывалась для возможности создателями уничтожать собственные коллекции при необходимости. Однако это создавало риск для любого NFT, созданного через Foundation.
На момент обнаружения уязвимости контракт был защищен "мультисиг-кошельком с двумя подписями из шести". По словам 0xngmi, аккаунт, который защищал контракт, мог быть обновлен и передан под контроль с помощью двух подписей от членов команды Foundation или любого, у кого есть доступ к нему.
Проблема заключалась в том, что если злоумышленник получит контроль над этими двумя ключами, он может заблокировать все токены NFT для получения выкупа или полностью уничтожить их.
0xngmi объяснил, что разработчики провели моделирование такой атаки и подтвердили, что владелец контракта может заблокировать все NFT.
«Все владельцы выпущенных Foundation токенов предполагают, что их активы неизменяемы в блокчейне и ими нельзя манипулировать. В лучшем случае риску подвергаются только метаданные. В реальности все NFT находятся всего в двух транзакциях от уничтожения», — предупредил сооснователь DeFiLllama.
Аудитор безопасности смарт-контрактов CertiK получил вознаграждение в размере $500 000 за обнаружение серьезной уязвимости в блокчейне Sui.
Ранее специалисты из компании BlockSec обнаружили ошибку в коде NFT-протокола ParaSpace, используемого для лендинга. Эта уязвимость представляла угрозу потери 2900 ETH и неуказанного количества токенов от коллекции BAYC.