攻擊者利用該漏洞鑄造了 100 個 Association NFT。
在美國國家籃球協會 (NBA) 宣布鑄造基於以太坊的不可替代代幣 (NFT) 後不到 24 小時,該協會數位收藏品的合約中發現了一個重大漏洞。
發生了什麼
據一家對數位貨幣進行智慧合約審計的公司 BlockSec 稱,NFT 協會存在一個漏洞,允許非白名單用戶透過複製早期存取資產的投資者的簽名來鑄造數位收藏品。
BlockSec 指出 NBA 協會 NFT 沒有確認白名單簽名和寄件者地址的一致性,這是一個錯誤,允許未經授權的用戶在其早期發佈時存取鑄造不可替代的代幣。
“ 協會NFT 合約存在漏洞。 驗證功能不會:
1)有一個隨機數,只能使用一次
2)將訊息發送者與簽名者綁定,” 區塊安全 啾啾 今天早些時候。
#NFT協會 合約存在漏洞。 驗證功能不
1)有一個隨機數,只能使用一次
2)將訊息發送者與簽署者綁定@NBAxNFT
@defiprime pic.twitter.com/NsCsBFo2Yo— 區塊安全 (@BlockSecTeam) 2022 年 4 月 21 日
在 NFT 開發者協會出現重大安全漏洞後,攻擊者利用該錯誤鑄造了 100 個單位的數位收藏品。
攻擊者鑄造協會 NFT 後不久,用戶就開始在流行的非同質代幣市場 OpenSea 上出售它們。
攻擊 交易 此事發生在 NBA 宣布其 NFT 鑄造活動結束數小時後,截至撰寫本文時,用戶支付了 2.72 ETH,價值約 8,421 美元。
值得注意的是,最近的發展是建議安全開發人員對其專案合約進行充分的安全審計的原因之一,以消除所有漏洞並避免不幸事件。
NBA方面給了回應:
「我們意識到智能合約存在問題,導致允許名單供應過早售完。 我們對這種情況表示歉意,目前正在確定因此無法鑄造的允許名單錢包。”
我們認識到智能合約存在問題,導致白名單供應過早售完。 我們對這種情況表示歉意,目前正在確定因此無法鑄造的允許列表錢包。
— NBAxNFT (@NBAxNFT) 2022 年 4 月 20 日
NBA 推出協會 NFT
同時,NBA球隊也宣布離場。 其協會 NFT 的鑄幣活動,讓白名單使用者有機會鑄造 18,000 種資產中的部分資產。
根據籃球協會的說法,NFT 的一個單位代表了本賽季季後賽中真實的 NBA 球員。
正如協會網站上所述,NBA 球迷不會花太多錢購買 NFT,因為鑄造是免費的。 然而,用戶將不得不支付 Gas 費用,該費用可能飆升至 1 ETH(3,077 美元)。
–廣告–
Source: https://thecryptobasic.com/2022/04/21/loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts/?utm_source=rss&utm_medium=rss&utm_campaign=loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts