作者：Adeola @ Contributor of PermaDAO

翻译：Zwi @ Contributor of PermaDAO

审阅：John Khor @ Contributor of PermaDAO

<aside> <img src="https://pbs.twimg.com/profile_images/1691961542387089408/DeGGPr6y_400x400.jpg" alt="https://pbs.twimg.com/profile_images/1691961542387089408/DeGGPr6y_400x400.jpg" width="40px" /> Metaplex 是基于 Solana 构建的标准化 NFT 协议，用户在 Metaplex 铸造的 NFT 全部都存储在 Arweave 上。

</aside>

Metaplex 发布了一份安全审计报告。报告分析了 Metaplex 的 Token Metadata（Metaplex 的 NFT 元数据标准）程序，并审查了 2023 年 2 月至 11 月期间发布的主要软件版本，发现了五个已解决的漏洞。

Metaplex 使用 Arweave 存储 NFT，并聘请了 Mad Shield 对其系统进行审计，发现了三个被归类为严重的漏洞；一个高危漏洞；一个低危漏洞。Metaplex 对程序库进行了升级，以应对不断变化的行业挑战，并让其新的功能发挥作用。

Mad Shield 表示：“通过仔细检查代码库，此次审计旨在确保 Metaplex 代币元数据的持续稳健性和安全性，增强对 Solana NFT 生态系统中创作者和用户的信任，促进对新创新功能的安全采用。”

Metaplex 程序库经历的升级是可编程的非同质化代币和 token-22 的集成。报告指出，一般而言，涉及添加代码的升级都会带来风险。Metaplex 是 Solana 原生 NFT 市场，使用 Arweave 作为存储解决方案。

“大量新代码的添加在带来预期收益的同时也带来了潜在风险。改造后的系统中可能会出现重大变化、潜在威胁和安全漏洞，”报告中指出。该报告对已实施的变更及其安全影响进行了全面分析，重点是识别和减少程序漏洞。

严重（Critical）类别中的漏洞涉及低到中等难度的第三方攻击者，可能会导致无法挽回的经济损失；高风险类别涉及外部攻击或特定用户交互的风险，可能会导致可挽回的财务损失；低风险类别涉及实施差异和不常见情况的问题，可能不会影响财务安全，但会有轻微的影响。

Mad Shield 将检测到的严重安全漏洞描述为有潜在影响，其中包括可被利用以永久禁用所有可编程非同质化操作的烧录指令；所有可编程的非同质化代币规则都可以在转移指令中绕过；可编程非同质化代币“白名单规则”可以在转移指令中绕过。其他检测到的漏洞描述分别为高、低和信息安全级别，可编程的非同质化代币可能变为不可转让的；在锁定和解锁同质化代币期间程序出现紧急状况；不可转让铸币的代币账户必须具有不可变的所有者扩展。

Mad Shield 表示，已发现的漏洞已得到解决，并消除了用户资金损失的风险。

“我们对 Metaplex 的 Token Metadata 程序的彻底审计取得了重大成果。通过识别和修复严重漏洞，我们解决了危及用户资金的潜在威胁。此外，针对剩余漏洞提出的解决方案增强了该程序的整体可靠性和性能，“报告中如此陈述。

与此同时，Metaplex 基金会宣布向 dReader app 提供资助，以帮助将下一代漫画收藏存至链上。该资助是 Metaplex DAO 颁发的第一笔资金。dReader app 表示，这笔赠款将帮助其将用户基数增加到 5000 名，并为 Solana 上的 400 名创作者提供服务。

关于 PermaDAO：Website | Twitter | Telegram | Discord| Medium | Youtube