BlockBeats News、10月22日、クロスチェーンインタラクションInteroperabilityプロトコル LayerZeroのCEOであるBryan Pellegrino氏は、ソーシャルメディアでAcross Protocolチームに宛てて、「トークンコントラクトに重大な問題があることをお知らせします。 Open ZeppelinがERC20トークンの実装で記述した内部プライベート関数であるはずの機能を誤って公開し、トークンを破壊してコントラクト所有者に渡すことで、いつでも任意のウォレットからトークンを引き出し、任意のアカウントの残高を自由に0にすることができます。 さらに、Across ProtocolとUMA Protocolの両方のコントラクトには、無制限にミントする機能がありますが、私はこの2つの問題についてお知らせしましたが、あなたは気にしていないようです。 ライントークンを再変更せずにこの問題を解決するには、契約の所有権を新しいスマートコントラクトに移して、ミントが総供給量を超えないようにし、燃やさないようにします。 これは恒久的な抜け穴であるため、新しいコントラクトは不変である必要があり、所有権を譲渡する機能を含めることはできません。 アクティブなバグバウンティプログラムをお持ちの場合は、この情報についてLayerZeroチームにクレジットを付けることができます。
LayerZeroのCEOが、Acrossトークン契約に欠陥があることを明らかにし、解決策を提供しました
BlockBeats News、10月22日、クロスチェーンインタラクションInteroperabilityプロトコル LayerZeroのCEOであるBryan Pellegrino氏は、ソーシャルメディアでAcross Protocolチームに宛てて、「トークンコントラクトに重大な問題があることをお知らせします。 Open ZeppelinがERC20トークンの実装で記述した内部プライベート関数であるはずの機能を誤って公開し、トークンを破壊してコントラクト所有者に渡すことで、いつでも任意のウォレットからトークンを引き出し、任意のアカウントの残高を自由に0にすることができます。 さらに、Across ProtocolとUMA Protocolの両方のコントラクトには、無制限にミントする機能がありますが、私はこの2つの問題についてお知らせしましたが、あなたは気にしていないようです。 ライントークンを再変更せずにこの問題を解決するには、契約の所有権を新しいスマートコントラクトに移して、ミントが総供給量を超えないようにし、燃やさないようにします。 これは恒久的な抜け穴であるため、新しいコントラクトは不変である必要があり、所有権を譲渡する機能を含めることはできません。 アクティブなバグバウンティプログラムをお持ちの場合は、この情報についてLayerZeroチームにクレジットを付けることができます。