Fiverr 開發人員為自己創建了後門——這對任何人來說都不是新聞,加密貨幣生態系統不斷成為各種黑客和詐騙者的目標。顯然,NFT 生態系統的崛起並沒有被排除在外。
197 ETH 從NFT Thestarlab項目中被盜
Thestarlab 是另一個NFT項目,提供9999 個NFT 的3D 行星在元宇宙中進化。
3 月2 日星期三,Thestarlab 團隊宣布他們已成為攻擊的目標。因此,攻擊者設法訪問了團隊的錢包。隨後,他能夠耗盡存儲在那裡的197 ETH。
從Thestarlab 協議中竊取的金額。
因此,這不是團隊的一個小動作,因為攻擊者竊取的是在NFT 的鑄幣階段籌集的資金。
有一點仍然令人驚訝。實際上,只有被視為合約所有者的地址才能提取資金。但是,在這種情況下,所有者地址已被修改為指向零地址,即0x000000000000000000000000000000000000。
“這個功能本質上放棄了合約的所有權。 因此,Mint 合約的所有者變成了一個零地址:0x00000000000000000000000000000000000000000000000000。 我們團隊中的任何人,或者世界上任何地方都沒有人可以訪問這個空地址。 »
解釋團隊。
在這一點上,很難理解這一切是如何發生的。這顯然不是指望推特的偵探。
創建後門的Fiverr 開發人員
事發幾天后,Zachxbt 公佈了他對這次黑客攻擊的調查結果,他的發現非常令人驚訝。
Zachxbt 發布的線程中的第一篇文章– 來源:Twitter。
因此,在對代碼進行完整分析後,它意識到了一件事:部署智能合約的人指定了兩個地址作為合約的所有者。不幸的是,當Thestarlab 團隊將所有者地址撤銷為空地址時,他們只針對一個地址這樣做。
因此,合約仍然認為部署者的地址是合約的所有者。
“智能合約永遠不會真正被放棄或轉讓。 只能為其添加其他所有者。 原始部署者仍將被視為所有者。 »
他在他的推特帖子中解釋道。
但是,這個著名的原始部署者是誰?它實際上是智能合約的開發者,他正是在自由平台Fiverr 上聘請的開發者。因此,在開發過程中,他謹慎地確保他的地址仍然是合約的所有者。因此,如果僱用他的團隊沒有仔細檢查代碼,他確保能夠收回資金,這當然發生了。
32個項目面臨風險
不幸的是,Zachxbt 的發現並不止於此。事實上,在分析了區塊鏈之後,它發現至少有32 個項目使用相同的合約並且容易受到相同缺陷的影響。
“我檢查了渠道,結果發現至少有32 個項目與同一個Fiverr 開發人員簽約,為部署了所有合約的項目工作。 »
不出所料,大多數回應Zachxbt 帖子的易受攻擊的項目都承認從未審查過開發人員提供的合約代碼。
就Thestarlab項目而言,它已經開始遷移到一個沒有開發者Fiverr 地址的新智能合約。
顯然,這些攻擊針對所有類型的協議。事實上,託管在Arbitrum 上的NFT Treasure 銷售平台最近成為攻擊的目標,惡意用戶可以在不支付一分錢的情況下竊取多個NFT。
小飢餓還是大饑餓?你將不可避免地在Kucoin 上找到你最喜歡的加密貨幣。該平台擁有超過500 種點菜資產,可以滿足所有美食家的需求還等什麼註冊? (附屬鏈接)
DeFi 偵探調查可疑區塊鏈代碼的文章首次出現在Journal du Coin 上。
資訊來源:由0x資訊編譯自JOURNALDUCOIN。版權歸作者Renaud H.所有,未經許可,不得轉載