Causa: Recientemente, en mis ratos libres, estuve investigando sobre los tokens de Aptos y los contratos de Move. Descubrí que el saldo de los tokens está en un objeto, ¡y ese objeto es transferible!
Vulnerabilidad: Un día, por impulso, comencé a probar cómo generar registros de transferencias en el objeto, y luego transferí el objeto a la dirección de depósito de un exchange. En ese momento, el propietario del objeto ya era la dirección de depósito del exchange. Probé en varios exchanges y solo g*te pudo escanear este objeto, considerando los registros de transferencia previos como depósitos. (Un problema similar también existe en Solana, muchos de mis colegas ya lo saben).
Proceso de feedback: descubrí que el depósito fue exitoso y probé un retiro, después de tener éxito contacté de inmediato a la plataforma y detallé el fallo como sigue, esto fue el 30 de abril
Final: el 6 de mayo, g*te confirmó y me otorgó 50 puntos de tarjeta!
Mi opinión: los exchanges manejan una gran cantidad de activos de los usuarios, el nivel de atención a la seguridad refleja en cierta medida la seguridad de los activos de los usuarios! 50 puntos de tarjeta es un chiste, solo espero que los activos de los usuarios no se vean comprometidos! Al mismo tiempo, advierto a todos los profesionales, si encuentran un fallo, no se apresuren a reportarlo, primero busquen su propio beneficio, el mundo es un lugar donde todos buscan ganancias. Registro esto para mí y para todos mis amigos cripto!