2022-5-3文章
Decentraland 基金会致力于维护 Decentraland 的安全性,并对我们为实现该目标所做的工作保持透明。最近,有两件与此主题相关的事情需要向各位更新。一个是 LAND 合同的漏洞,我们在接获通报后迅速处理(所有资产都是安全的),另一个是我们为保护 Decentraland IP 和扩展 Decentraland 社区所做的努力。
3 月 12 日,一名安全研究人员报告了 LAND 智能合约的一个严重漏洞,该漏洞允许任何人在未经 LAND 所有者许可的情况下转让 LAND。作为回应,Decentraland 基金会紧急联系了 DAO 安全顾问委员会的成员以修改智能合约,并在确认后两小时内修复了该漏洞。从那时起,基金会对 LAND 智能合约进行了两次额外的审计,以确保在与您(Decentraland 社区)共享此信息之前真正解决了问题。
15:40 - 收到早期的非正式通知——安全研究人员被要求通知 security@decentraland.org
16:20 - 在 security@decentraland.org 收到安全报告,并由 Decentraland 基金会的待命人员处理。
16:33 - SAB 团队被通知并要求立即报告。
16:40 - 两名 SAB 团队成员验证报告并确认漏洞。
16:50 - SAB 团队成员开始构建新的 TheGraph 子图实现,以检测和识别以太坊主网上的这种情况。
17:22 - SAB 团队成员提出了一个解决方案。
17:28 - SAB 团队的五名成员中的四名,加上一名独立人士,开始验证修复是否正确。
17:30 - 所有 SAB 团队都在线并已报告,准备进行需要 5/5 签名者的紧急升级。
17:35 - 受影响 LAND 被盗的初步分析:安全研究人员拍摄的 11 个 LAND 地块。该 LAND 已由安全研究员归还给基金会。
17:55 - 部署了新的实施合同。
18:00 - 使用私有工具进行字节码合约验证,以避免公开披露固定合约。
18:10 - 使用不同的私有工具进行了第二次和第三次独立的字节码验证。
18:20 - 升级投票已提交给 SAB 团队。LAND注册事后剖析 2。
18:30 - 投票以 5/5 的赞成票结束。智能合约升级完成,漏洞确认修复:https://etherscan.io/tx/0xb9c189812a5b89257a8968f069985083b8e9d8879f7e72ab08b851dfb23eb49c
18:33 - 使用 TheGraph 子图和其它链上信息,SAB 团队确认该漏洞并未在野外被利用,并且仅涉及安全研究人员报告的 11 个 LAND 地块。
除了保护 Decentraland 的 IP 以造福社区的使命外,基金会还委托其法律团队采取一切必要行动,试图保护 Decentraland 商标和徽标不被冒充者使用。我们的法律团队也在尽其所能删除含有恶意内容的网页、域和应用程序,这些内容旨在误导公众对我们在 decentraland.org 上提供的平台的认识。为了协助法律团队完成这项任务,基金会聘请了知名的知识产权研究和执法公司,以检测侵权内容和诈骗,并采取一切必要的法律行动。
我们签约的其中一家公司已经向 WIPO 仲裁与调解中心提出了三项统一域名争议解决政策 (UNDRP) 索赔,并且最近取得了成功,侵权域名已转移到基金会。与此同时,在过去几个月中,我们分析了 881 个网站页面、400 个域、399 个移动和桌面应用程序以及 1187 个社交媒体列表,导致 2 个网站、24 个域和 5 个社交媒体帐户被成功删除。
Decentraland 及其社区的安全是基金会最重要的目标之一。为此,我们不仅会在威胁出现时继续采取反应性行动,而且会像今天向您报告的那样积极主动,以便您可以继续享受 Decentraland 及其社区所提供的体验。
选择您常用的频道加入与我们联系,关注Decentraland(MANA)的最新动态
DCL基金会全球社区:
【Official Website】
【Telegram】
【Blog】
【Twitter】
【Discord】
DCL中文社区:
【电报群】
【推特】
【微博】
【微信群】请加微信ID ChinWaan
【微信公众号】manalandcn