攻撃者は抜け穴を悪用し、100 個のアソシエーション NFT を鋳造しました。
全米バスケットボール協会(NBA)がイーサリアムベースの非代替トークン(NFT)の鋳造を発表してから24時間も経たないうちに、協会のデジタル収集品の契約に大きな抜け穴が発見された。
何が起きたのか
デジタル通貨のスマートコントラクト監査を実施する企業ブロックセックによると、協会NFTには、ホワイトリストに登録されていないユーザーが資産への早期アクセスを与えられた投資家の署名をコピーすることでデジタル収集品を鋳造できる抜け穴があるという。
BlockSec は次のように指摘しました。 NBA協会NFT ホワイトリストに登録された署名と送信者のアドレスの一貫性が確認されておらず、初期の起動時に代替不可能なトークンを作成するための権限のないユーザーへのアクセスを許可する不具合が発生しました。
「 協会NFT 契約には脆弱性があります。 検証関数は次のことを行いません。
1) XNUMX 回だけ使用できるように nonce を指定します。
2) メッセージ送信者を署名者とバインドします。」 ブロックセック ツイート 今日早く。
#AssociationNFT 契約には脆弱性があります。 検証機能は、
1) XNUMX 回だけ使用できるように nonce を指定します。
2) メッセージ送信者と署名者をバインドする@NBAxNFT
@defiprime pic.twitter.com/NsCsBFo2Yo— BlockSec(@BlockSecTeam) 2022 年 4 月 21 日
協会 NFT 開発者による重大なセキュリティの抜け穴に続いて、攻撃者はそのエラーを利用して 100 ユニットのデジタル コレクションを鋳造しました。
攻撃者が協会 NFT を鋳造した直後、ユーザーは人気のある代替不可能なトークン マーケットプレイス OpenSea でそれらを販売し始めました。
攻撃 トランザクション これはNBAがNFTの鋳造イベントを開始した数時間後に発生し、ユーザーは記事執筆時点で約2.72ドル相当の8,421 ETHの手数料を支払いました。
最近の開発は、すべての抜け穴を解明し、不幸なインシデントを回避するために、セキュリティ開発者がプロジェクトの契約の適切なセキュリティ監査を実施することをお勧めする理由の XNUMX つであることは注目に値します。
NBAは次のように答えた。
「私たちは、許可リストの供給が早期に完売する原因となったスマートコントラクトの問題を認識しています。 このような状況についてお詫びし、その結果として鋳造できなかった許可リストのウォレットを現在特定中です。」
私たちは、許可リストの供給が早期に完売する原因となったスマート コントラクトの問題を認識しています。 この状況についてお詫び申し上げます。現在、結果として鋳造できなかった許可リストのウォレットを特定中です。
— NBAxNFT (@NBAxNFT) 2022 年 4 月 20 日
NBAが協会NFTを開始
一方、NBAチームは活動を停止した その協会NFTの鋳造演習、ホワイトリストに登録されたユーザーに、18,000 の資産の一部を鋳造する機会が与えられます。
バスケットボール協会によると、NFTのユニットは今シーズンのプレーオフに出場する本物のNBA選手を表しています。
協会のウェブサイトに記載されているように、NBAファンは鋳造が無料であるため、NFTの取得にそれほどお金を払うことはありません。 ただし、ユーザーはガス料金を支払う必要があり、その料金は 1 ETH (3,077 ドル) まで高騰する可能性があります。
–広告–
Source: https://thecryptobasic.com/2022/04/21/loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts/?utm_source=rss&utm_medium=rss&utm_campaign=loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts