无聊猿爆合约含无限铸造漏洞!Yuga Labs创始人:已销毁问题私钥插图

蓝筹NFT项目无聊猿(BAYC)在本周一(6日)被爆出藏有无限铸造漏洞,Solidity开发者foobar推文表示BAYC的智能合约中有一段程式码,恐潜在无限铸造的风险﹕有一个私钥可以随时铸造无限数量的@BoredApeYC OG(Originalgangster)。一旦代币合约的所有者(个人钱包,而不是多重签名)遭到黑客攻击或网络钓鱼,你可能会看到成千上万的新无聊猿被铸造出来,并倾销到市场上。

一直以来,投资者皆认为无聊猿的铸造上限就是10,000枚NFT,但从foobar分享的程式码截图显示:该智能合约允许所有权者能在一次交易中铸造30个新无聊猿NFT、且无需支付铸币费,如遭到恶意使用,恐造成毁灭性的打击。

foobar的贴文发布后,也引来众多无聊猿持有者的热议。有人无法置信这么大的项目竟然存在该漏洞这么久的时间;但又有人似乎不怎么担心,他们认为原始的1万个NFT都拥有时间戳,新铸造的项目不会有任何价值。

Yuga Labs宣布已修补漏洞、销毁合约

就在社群持续热议这项漏洞两天后,无聊猿开发商Yuga Labs的共同创办人Emperor Tomato Ketchup在8日发推表示,团队已撤销允许无限铸造BAYCNFT的程式码,并附上了销毁的交易纪录。

“该合约所有者现已被烧毁。虽然我们早就打算这样做了,但我们并没有非常谨慎。现在做起来感觉很舒服,全部完成。本文中标记的问题现在已不存在。”

早在一年前就已提出警告,但BAYC未如期兑现承诺

随然目前该漏洞已经解决,但令人感到困惑的是,其实早在去年六月,就有一名用户@dafky2000在推特上张贴出此项漏洞,当时官方明确承诺将在一两天内解决该问题﹕嘿,谢谢,我们刚正在谈论这个。显然,我们永远不会再启用该功能,并且计划在接下来的一两天内撤销所有权。

但却整整延迟一年都没有任何动作,直到foobar再次重提并引起社群讨论后,官方才着手进行修补。