Después de un exitoso anuncio de airdrop, los contratos inteligentes del mercado Blur NFT ahora revisados pintan una imagen sombría. Los contratos de Blur NFT, revisados por el usuario de Twitter @0xQuit, son una continuación de su hilo anterior sobre el lanzamiento aéreo de Blur. Siga leyendo para obtener más información sobre lo que ha revelado la revisión del contrato.
¿Qué muestran los resultados de la revisión del contrato?
En el hilo original del airdrop, @0xQuit mencionó un proceso paso a paso para recolectar el airdrop. Uno de estos pasos fue listar un NFT. El mercado Blur NFT requería que los usuarios firmaran un contrato (entonces) no verificado. @0xQuit sugirió a los usuarios cargar un NFT de bajo nivel y bajo valor para este paso. Luego de una revisión adicional, la solicitud de aprobación de Blur fue para el contrato 0x00000000000111AbE46ff893f3B2fdF1F759a8A8. Este contrato maneja estrictamente las transferencias de tokens en el intercambio. Existe un código similar entre otros mercados como OpenSea y LooksRare. Estos contratos son, en esencia, “componentes modulares muy similares con un propósito muy especializado de transferir tokens”.
Por ejemplo, en LooksRare, el código establece que al aprobar el contrato, solo LooksRare podría transferir diferentes tokens entre el intercambio/mercado. En OpenSea, se lleva a cabo un proceso similar, pero con el control otorgado a los “controladores de conductos” que agregan canales para permitir el movimiento/transferencias de movimiento.
Lo que esto significa básicamente es que los usuarios necesitarían un alto grado de confianza en OpenSea o LooksRare para aprobar contratos. En Blur, hay dos problemas clave que señala @0xQuit. El primero es que en su código, los mismos conductos solo verifican si la persona que llama puede mover tokens.
Esto significa que el propietario del contrato inteligente aún puede agregar otras direcciones al mapeo y extraer tokens. Blur, como nuevo mercado, aún no se ha ganado ese nivel de confianza. Otro tema apuntó al “contrato de cambio”, que en sí mismo es transferible. Lo que significa que los usuarios nunca sabrán realmente lo que están aprobando.
Soluciones potenciales
Con estas dos cuestiones a la luz, propietario del mercado @Pacman_Blur ha asegurado la seguridad de los usuarios. Los contratos son contratos de múltiples firmas, verificados también por @0xQuit. @0xQuit también señaló un par de soluciones, la primera es finalizar el contrato de BlurExchange para que no se pueda actualizar. El otro es renunciar a la propiedad de ExecutionDelegate para que no se agreguen ni eliminen nuevos contratos.
En respuesta, @Pacman_Blur también tuiteó que estas preocupaciones son similares a los contratos en OpenSea y X2Y2. Ambas plataformas podrían hacer que cualquiera agregue llamadas adicionales a los contratos en cualquier momento. También afirmó que el mercado ha completado sus auditorías de seguridad a través de dedbaub y code4rena. También afirmó: “Creo que sus sugerencias son razonables y definitivamente consideraremos finalizar el contrato de intercambio en el futuro. Dicho esto, el 100% de seguridad nunca se puede lograr. Siempre hay vectores de amenazas desde el hardware hasta lo digital y lo físico”.