Swarm之家2、全球最大交易所币安,
国区邀请链接:https://accounts.suitechsui.systems/zh-CN/register?ref=16003031 支持86手机号码,网页直接注册。
藍籌 NFT 項目 BAYC 6 日被爆出合約存在一把具有無限鑄造權限的私鑰,若遭惡意使用,恐釀成千上萬個新無聊猿 NFT 傾銷市場,引起社群熱議。昨(8)日,Yuga Labs 共同創辦人發推表示已修補漏洞、成功撤銷無限鑄造所有權。
(前情提要: 無聊猿DC遭釣魚200ETH NFT被盜!Yuga Labs回應 : Discord不適合Web3社群)
(背景補充: 好萊塢演員 Seth Green 要用 「無聊猿版權」開節目,但他的 BAYC 卻被偷走轉賣了!)
藍籌 NFT 項目無聊猿(BAYC)在本週一 (6日) 被爆出藏有無限鑄造漏洞,Solidity 開發者 foobar 推文表示 BAYC 的智能合約中有一段程式碼,恐潛在無限鑄造的風險﹕
有一個私鑰可以隨時鑄造無限數量的 @BoredApeYC OG( Original gangster )。
一旦代幣合約的所有者(個人錢包,而不是多重簽名)遭到駭客攻擊或網路釣魚,你可能會看到成千上萬的新無聊猿被鑄造出來,並傾銷到市場上。
一直以來,投資者皆認為無聊猿的鑄造上限就是 10,000 枚 NFT,但從 foobar 分享的程式碼截圖顯示:該智能合約允許所有權者能在一次交易中鑄造 30 個新無聊猿 NFT、且無需支付鑄幣費,如遭到惡意使用,恐造成毀滅性的打擊。
There is a single private key out there that can mint an infinite number of new OG @BoredApeYC at any time.
If the token contract owner (a personal wallet, not a multisig) gets hacked or phished, you might see thousands of new bored apes minted and dumped onto the market pic.twitter.com/CLZGaDz1Yx
— foobar (@0xfoobar) June 5, 2022
foobar 的貼文發布後,也引來眾多無聊猿持有者的熱議。有人無法置信這麼大的項目竟然存在該漏洞這麼久的時間;但又有人似乎不怎麼擔心,他們認為原始的 1 萬個 NFT 都擁有時間戳,新鑄造的項目不會有任何價值。
More value? Sure but flooding the market with new Bored Apes would absolutely hurt existing value.
— Mitch Downey (@m_downey) June 5, 2022
Yuga Labs 宣佈已修補漏洞、銷毀合約
就在社群持續熱議這項漏洞兩天後,無聊猿開發商 Yuga Labs 的共同創辦人 EmperorTomatoKetchup 在 8 日發推表示,團隊已撤銷允許無限鑄造 BAYC NFT 的程式碼,並附上了銷毀的交易紀錄。
該合約所有者現已被燒毀。雖然我們早就打算這樣做了,但我們並沒有非常謹慎。
現在做起來感覺很舒服,全部完成。本文中標記的問題現在已不存在。
The contract owner has now been burned. While we’d been meaning to do this for a long time, we hadn't out of an abundance of caution. Felt comfortable doing it now. All done.
In lay terms: The issue flagged in this article is now impossible.— EmperorTomatoKetchup (@TomatoBAYC) June 7, 2022
早在一年前就已提出警告,但 BAYC 未如期兌現承諾
隨然目前該漏洞已經解決,但令人感到困惑的是,其實早在去年六月,就有一名用戶 @dafky2000 在推特上張貼出此項漏洞,當時官方明確承諾將在一兩天內解決該問題﹕
嘿,謝謝,我們剛正在談論這個。
顯然,我們永遠不會再啟用該功能,並且計劃在接下來的一兩天內撤銷所有權。
但卻整整延宕一年都沒有任何動作,直到 foobar 再次重提並引起社群討論後,官方才著手進行修補。
Hey thanks, we were just talking about this. Obviously, we're never going to call that function again and we're planning on revoking ownership in the next day or two.
— Bored Ape Yacht Club (@BoredApeYC) June 2, 2021
