スニークピーク
Cygaar は、不適切に作成されたプロキシ契約による NFT プロジェクトのホワイトハット乗っ取りがまたもや発生したと報告しています。
Kubz の実装契約は Cygaar が引き継ぎました。
DisableInitializers を使用すると、将来このようなことが起こるのを防ぐことができます。
Cygaarが最近シェアしたツイートでは、人気のあるソフトウェアエンジニアが、プロキシ契約を正しく記述していなかったNFTプロジェクトがホワイトハットに乗っ取られたと報告した。彼は、Kubzの実装契約を引き継いだことを明らかにした。
プロキシ コントラクトを正しく記述していない NFT プロジェクトが、またしてもホワイトハットに乗っ取られました。今回は、Kubz の実装コントラクトを引き継ぎました。コントラクト開発者はいつになったらプロキシを正しく記述できるようになるのでしょうか? pic.twitter.com/qSBNzNimm4
— cygaar (@0xCygaar) 2023年2月3日
これに加えて、彼が現在この特定のコントラクトの所有者であり、実装コントラクト上の所有者専用の関数を呼び出す能力を持っていることが明らかになりました。将来このようなことが起こるのを防ぐことができるというトピックに重点を置いて、Cygaar は、実装のコンストラクタに追加できる「disableinitializers」と呼ばれるものがあると述べました。
DisableInitializers 関数に関しては、実装のロックと、初期化子で変更された関数が呼び出されないようにすることが容易になります。
透過プロキシを乗っ取っても何も起こらないかもしれませんが、このアドレスからレプリカNFTをエアドロップし、ユーザーを騙してそれが本物だと思わせることは可能です。したがって、Cygaarが必ずしも実際の契約を破ることができない場合、ユーザーを騙して偽のコレクションを購入/取引させる可能性があり、これは理想的な結果とは見なされません。
彼はそうするつもりはなく、自分が残した抜け穴に気づいたら所有権をケウン氏に譲渡するつもりだと断言した。
Cygaar が NFT プロジェクトの別のホワイトハット乗っ取りを明らかにしたという記事が、Today NFT News に最初に掲載されました。