最近NFT圈子不太平,各种安全事件频发,搞得人心惶惶。先是NFT Trader交易平台爆出漏洞,价值几百万美元的蓝筹NFT被盗,紧接着,Delegate创始人foobar又发文警告,说发现了一个新的恶意合约,也盗取了不少BAYC和PudgyPenguins。这消息一出,大家更是绷紧了神经。
(图片来源网络,侵删)
经过一番调查,大家把矛头指向了NFT碎片化协议Flooring Protocol。慢雾科技的创始人余弦也发文证实,Flooring Protocol确实出了问题,而且很有可能是受到了NFT Trader漏洞的启发。听起来就像是连锁反应,一个接一个的爆雷。
更让人吃惊的是,foobar指出,Flooring Protocol被黑的原因竟然是11天前的一次错误升级,这次升级允许对外部合约进行多重调用,给了黑客可乘之机。这就像是自家大门没锁好,小偷自然就进来了。
(图片来源网络,侵删)
更让人无语的是,foobar 再次发文,说他几乎可以确定,有超过1亿美元的资金被盗,而罪魁祸首竟然是ERC-721(一种NFT代币标准)的函数命名问题!ERC-721 将接口函数命名为 safeTransferFrom(),而不是更明确的 transferFromWithCallback(),这给了攻击者很大的操作空间。 foobar 甚至说,这可能是有史以来最具灾难性的变量命名,简直是程序员的噩梦。
(图片来源网络,侵删)
0 留言