یک عملکرد ساده می تواند بزرگترین مجموعه NFT در جهان را خراب کند: جزئیات

بر اساس داده های حاصل از قرارداد هوشمند ضرب کردن بزرگترین مجموعه NFT جهان، Bored Ape Yacht Club، صاحب کیف پولی که به این قرارداد بسته شده است در حال حاضر قادر به ضرب کمیت بی نهایت از قطعات NFT

"آسیب پذیری"

همانطور که تابع "ReserveApes" در قرارداد نشان می دهد، باید "بعضی میمون های خسته را کنار بگذارد" اما در واقع، این تابع اجازه می دهد تا 30 میمون را در یک زمان بدون پرداخت هزینه های شبکه 0.08 اتریوم بپردازید. اما مشکل اصلی این است که عملکرد اجازه می دهد تا بی نهایت مجموعه را برش دهید.

به احتمال زیاد کد به طور تصادفی "باز مانده است" و باید عملکرد دیگری وجود داشته باشد که از تکرار عملکرد "ReserveApes" توسط مالک جلوگیری کند. همانطور که داده های زنجیره ای نشان می دهد، حسابی که با "EE4D03" ختم می شود هنوز فعال است و می تواند میمون های بیشتری را ایجاد کند.

علاوه بر عملکردی که به طور بالقوه می تواند قیمت کف کل مجموعه را از بین ببرد، کیف پول این اختیار را دارد که ابرداده های مرتبط با هر توکن غیرقابل تعویض موجود در مجموعه را تغییر دهد.

این را می توان با 0xaBA7161A7fb69c88e16ED9f455CE62B791EE4D03 رفع کرد که تابع را برای انصراف از مالکیت فراخوانی می کند، به جامعه BAYC پیشنهاد دهید هر کسی را که می خواهد این کار را سریع انجام دهد.

- suzuha (@dystopiabreaker) فوریه 3، 2022

اما در حالی که اکسپلویت هنوز در کد وجود دارد، هنوز هم می توان با فراخوانی تابع برای انصراف از مالکیت، از یک وضعیت ناخوشایند جلوگیری کرد.

صنعت NFT دوران سختی را پشت سر می گذارد

پیش از این، سوء استفاده‌های متعدد مرتبط با NFT در فضایی با بزرگترین بازار NFT، OpenSea، انجام می‌شد، که با یک مشکل فنی در API خود مواجه بود که به کاربر اجازه می‌داد تا مواد غیرقابل تعویض را با قیمت‌های ارزان‌تر خریداری و بفروشد و سپس آنها را به قیمت بازار بفروشد.

بعداً، هکرها موفق شدند با استفاده مجدد از این آسیب‌پذیری، هشت قطعه NFT را از بازار به سرقت ببرند. قطعات دزدیده شده مربوط به مجموعه هایی مانند Cool Cat و Bored Ape Yacht Club بودند. ارزش کیف پول این هکر ۱۱۷ هزار دلار بود.