Ursprung: Ich hatte neulich etwas Zeit und habe die Token und Move-Verträge auf Aptos unter die Lupe genommen. Dabei habe ich entdeckt, dass der Token-Bestand in einem Objekt gespeichert wird, das transferierbar ist!
Schwachstelle: Aus einer spontanen Idee heraus begann ich, auf dem Objekt Transfer-Records zu erstellen und verschob dann das Objekt zur Einzahlungsadresse der Börse. Zu diesem Zeitpunkt war der Besitzer des Objekts bereits die Einzahlungsadresse der Börse. Ich habe mehrere Börsen getestet, und nur g*te hat dieses Objekt erfasst und die zuvor erstellten Transfer-Records als Einzahlung gewertet. (Ein ähnliches Problem gibt es auch bei Solana, viele von euch sollten das wissen)
Feedback-Prozess: Ich habe erfolgreich aufgeladen und eine Auszahlung getestet, nachdem es erfolgreich war, habe ich sofort die Plattform kontaktiert und die Details des Bugs wie folgt gemeldet, das war am 30. April.
Ende: Am 6. Mai hat g*te mir 50 Punkte geschenkt!
Meine Worte: Die Börse hält eine Menge Vermögenswerte der Nutzer, und das Maß an Sicherheit, das sie bieten, spiegelt in gewissem Maße die Sicherheit der Nutzermittel wider! 50 Punkte sind ein Witz, ich hoffe nur, dass die Vermögenswerte der Nutzer nicht gefährdet werden! Gleichzeitig erinnere ich alle Mitstreiter daran, bei Entdeckungen von Bugs nicht sofort zu melden, sondern erst eigene Vorteile zu sichern. Die Welt ist voller Geschäfte, und alle sind auf der Jagd nach Profit. Notiert es für euch selbst und für alle Krypto-Freunde!