На этой неделе разработчики популярного NFT-проекта CryptoPunks представили свою новую работу – Meebits, в которой двухмерные изображения заменили трехмерными персонажами. Такие персонажи обладают уникальными характеристиками, из-за чего один может стоить дороже другого, причем никто, даже разработчики, в момент выпуска NFT не должен знать, насколько ценный NFT будет получен. Спустя несколько дней в Meebits была обнаружена уязвимость, позволяющая произвольно создавать редких персонажей.
Уязвимость реализуется путем отмены запросов на выпуск Meebits, если создаваемый NFT оказывается недостаточно редким. Таким образом пользователи могли отправлять множество запросов на создание NFT, пока не удовлетворялись результатом. Один из созданных при помощи эксплойта Meebits уже был продан на маркетплейсе OpenSea за 200 ETH ($712 000).
Множество отмененных запросов на выпуск Meebits в блокчейне
Разработчики отреагировали на проблему, временно ограничив возможность выпуска и обмена Meebits между собой. «Контракт в безопасности. В выпуске Meebits обнаружилась уязвимость из-за того, что свойства оставшихся невыпущенных Meebits подверглись утечке. Таким образом те, у кого еще осталась возможность выпускать NFT, отменяют свои запросы до тех пор, пока не получат желаемый номер», – написали они.
При этом сам смарт-контракт оставался полностью работоспособным, однако загрузка Meebits в распределенное хранилище IPFS привела к раскрытию их идентификаторов и характеристик. В компании также отметили, что почти все возможности для выпуска Meebits уже были израсходованы, а для тех, у кого они еще остались, разработчики создадут токены самостоятельно при помощи функции в смарт-контракте. Таким образом они намерены обеспечить случайность выпуска, как должно было быть изначально.
