cnews 1 1654762454
新聞

無聊猿爆合約含「無限鑄造漏洞」!Yuga Labs 創辦人:已銷毀問題私鑰

藍籌 NFT 項目 BAYC 6 日被爆出合約存在一把具有無限鑄造權限的私鑰,若遭惡意使用,恐釀成千上萬個新無聊猿 NFT 傾銷市場,引起社群熱議。昨(8)日,Yuga Labs 共同創辦人發推表示已修補漏洞、成功撤銷無限鑄造所有權。
(前情提要: 無聊猿DC遭釣魚200ETH NFT被盜!Yuga Labs回應 : Discord不適合Web3社群
(背景補充: 好萊塢演員 Seth Green 要用 「無聊猿版權」開節目,但他的 BAYC 卻被偷走轉賣了!

 

NFT 項目無聊猿(BAYC)在本週一 (6日) 被爆出藏有無限鑄造漏洞,Solidity 開發者 foobar 推文表示 BAYC 的智能合約中有一段程式碼,恐潛在無限鑄造的風險﹕

有一個私鑰可以隨時鑄造無限數量的 @BoredApeYC OG( Original gangster )

一旦代幣合約的所有者(個人錢包,而不是多重簽名)遭到駭客攻擊或網路釣魚,你可能會看到成千上萬的新無聊猿被鑄造出來,並傾銷到市場上。

一直以來,投資者皆認為無聊猿的鑄造上限就是 10,000 枚 NFT,但從 foobar 分享的程式碼截圖顯示:該智能合約允許所有權者能在一次交易中鑄造 30 個新無聊猿 NFT、且無需支付鑄幣費,如遭到惡意使用,恐造成毀滅性的打擊。

foobar 的貼文發布後,也引來眾多無聊猿持有者的熱議。有人無法置信這麼大的項目竟然存在該漏洞這麼久的時間;但又有人似乎不怎麼擔心,他們認為原始的 1 萬個 NFT 都擁有時間戳,新鑄造的項目不會有任何價值。

Yuga Labs 宣佈已修補漏洞、銷毀合約

就在社群持續熱議這項漏洞兩天後,無聊猿開發商 Yuga Labs 的共同創辦人 EmperorTomatoKetchup 在 8 日發推表示,團隊已撤銷允許無限鑄造 BAYC NFT 的程式碼,並附上了銷毀的交易紀錄

該合約所有者現已被燒毀。雖然我們早就打算這樣做了,但我們並沒有非常謹慎。

現在做起來感覺很舒服,全部完成。本文中標記的問題現在已不存在。

早在一年前就已提出警告,但 BAYC 未如期兌現承諾

隨然目前該漏洞已經解決,但令人感到困惑的是,其實早在去年六月,就有一名用戶 @dafky2000 在推特上張貼出此項漏洞,當時官方明確承諾將在一兩天內解決該問題﹕

嘿,謝謝,我們剛正在談論這個。

顯然,我們永遠不會再啟用該功能,並且計劃在接下來的一兩天內撤銷所有權。

但卻整整延宕一年都沒有任何動作,直到 foobar 再次重提並引起社群討論後,官方才著手進行修補。

📍

資訊來源