NFT 資訊安全

NFT線上藝廊Foundation遭爆重大風險,Foundation發行NFT恐全數被毀

Elponcho
分享
NFT線上藝廊Foundation遭爆重大風險,Foundation發行NFT恐全數被毀

DeFiLlama 開發者0xngmi 6/21 發文表示,知名 NFT 線上藝廊 Foundation 有智能合約漏洞,導致 NFT 鏈上資訊全毀。

Foundation 風險:合約可能「自行銷毀」?

Foundation 的 NFT 合約使用轉發代理模式 (forwarder proxy pattern),這通常用於節省部署的 Gas Fee。這代表所有收藏品都會調用一個單一的合約,並使用其代碼。0xngmi 表示,雖然這通常不會是問題,但在 Foundation 的情況下,此合約可以被 Foundation「自行銷毀」。

Foundation 風險:為什麼會這樣?

Foundation 的收藏品有一個功能,讓創作者在它們沒有 NFT 的情況下摧毀它們。這是為收藏品設計的,但也適用於實施合約。這意味著如果實施合約中沒有 NFT,其創建者就可以銷毀它。

廣告 - 內文未完請往下捲動

然而,Foundation 的團隊 (即合約的所有者) 也可以摧毀它。如果他們這樣做,所有收藏品合約都會無效,因為它們只會調用已被摧毀的合約來獲取不存在的代碼。

Foundation 團隊有能力有效地刪除在其平台上鑄造的所有收藏品。該合約的所有權目前由六個多簽私鑰管理,只需要兩個私鑰授權即可執行。

Foundation 風險:如何解決?

0xngmi 表示,可能的解決方案是在實施合約中鑄造一個 NFT,然後將其轉移到燒毀地址。這將消除合約自我摧毀的能力。因為這就不會使合約中的 NFT 為零。

然而,0xngmi 約六個月前將這個問題和提議的修復方案披露給 Foundation,但至今尚未解決。

Foundation 風險:為什麼你應該在意?

0xngmi 表示,如果合約的密鑰被洩漏,攻擊者可以勒索所有 NFT 或摧毀它們。

0xngmi強調,所有擁有 Foundation 作品的收藏家認為他們的 NFT 在區塊鏈上是不變的,不能被操弄,最多只有元數據 (metadata,意指指向 NFT 圖檔的資訊) 有風險。然而,實際情況遠非如此,所有在 Foundation 上的 NFT 都只有兩個交易距離就可能被摧毀。

0xngmi還提供了一個證明概念的存儲庫,模擬攻擊並驗證它將使所有 NFT 變為無用。