PANews 2月16日消息,據社區反饋,知名IP 阿狸ALI&HIS FRENS NFT 在預售過程中,官網調試(debug)模式並未關閉,導致用戶能夠通過後台代碼邏輯訪問盲盒對應的元數據以及圖片信息。但官方仍可以通過重新隨機排列打亂原有對應數據解決該問題。官網更是出現單詞拼寫錯誤,項目漏洞層出。推特用戶0xZdm分析稱:
1. 官網debug 模式沒有關,直接暴露後台代碼邏輯
2. 官網使用ThinkPHP 5年前發布的版本,版本很可能存在滲透漏洞
3. 官網暴露admin 後台地址
4. 盲盒開箱後才能看到的metadata 直接放在public 文件夾,任何人隨時可以訪問
對此問題,官方隨後在Discord 社區發布回應稱,目前ALI&HIS FRENS NFT 正在積極整改網站,並將此前洩露的元數據全部打亂,重新排列NFT 稀有度。
來源鏈接
