据社区反馈,知名IP阿狸ALI&HISFRENSNFT在预售过程中,官网调试模式并未关闭,导致用户能够通过后台代码逻辑访问盲盒对应的元数据以及图片信息。但官方仍可以通过重新随机排列打乱原有对应数据解决该问题。官网更是出现单词拼写错误,项目漏洞层出。推特用户0xZdm分析称:
1.官网debug模式没有关,直接暴露后台代码逻辑
2.官网使用ThinkPHP5年前发布的版本,版本很可能存在渗透漏洞
3.官网暴露admin后台地址
4.盲盒开箱后才能看到的metadata直接放在public文件夹,任何人随时可以访问
对此问题,官方随后在Discord社区发布回应称,目前ALI&HISFRENSNFT正在积极整改网站,并将此前泄露的元数据全部打乱,重新排列NFT稀有度。
来源链接
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。