DeFi固定利率生成协议88mph发布“init()”函数严重漏洞修复报告

官方消息，DeFi 固定利率生成协议 88mph 发布“init()”函数严重漏洞的修复报告。此前 iosiro 的安全研究员白帽 Ashiq Amien 向智能合约漏洞赏金平台 Immunefi 披露 88mph 的 CRV:RENWBTC、CRV:STETH 和 yaLink 池中发现严重漏洞，该漏洞是一个未受保护「init()」函数，这些特定池的代码功能将允许恶意用户窃取 650 万美元的代币，主要是 crvRenWBTC。该 init() 函数是用来初始化 88mph 平台的 NFT 合约，init() 函数不受保护并且可以被任何人多次调用 ，此漏洞允许恶意攻击者访问任何用户的 NFT 和存款。在 Immunefi 披露该漏洞后，88mph 暂停了受影响的合约，并将用户资金归还给合格的所有者。88mph 称很快就会部署其 V3 平台，这将废除受影响的合约，所以不需要立即修复。意识到该漏洞的潜在破坏性影响，88mph 应白帽公司的要求，向 iosiro 颁发了 42069 美元的赏金。