攻击者利用该漏洞铸造了 100 个 Association NFT。
在美国国家篮球协会 (NBA) 宣布铸造其基于以太坊的不可替代代币 (NFT) 后不到 24 小时,该协会的数字收藏品合同中发现了一个重大漏洞。
发生什么事了
根据对数字货币进行智能合约审计的公司 BlockSec 的说法,Association NFT 存在一个漏洞,允许未列入白名单的用户通过复制投资者的签名来铸造数字收藏品,从而提前获得资产。
BlockSec 指出 NBA协会NFT 没有确认列入白名单的签名和发件人地址的一致性,这是一个允许未经授权的用户在其早期发布时访问铸造不可替代代币的故障。
“ 协会NFT 合约有漏洞。 验证功能不会:
1)有一个nonce,所以它只能使用一次
2)将消息发送者与签名者绑定,” 区块安全 啾啾 今天早些时候。
#NFT协会 合约有漏洞。 验证功能不
1)有一个nonce,所以它只能使用一次
2) 将消息发送者与签名者绑定@NBAxNFT
@压抑 pic.twitter.com/NsCsBFo2Yo— 区块安全 (@BlockSecTeam) 2022 年 4 月 21 日
在协会 NFT 开发人员发现重大安全漏洞之后,攻击者利用该错误铸造了 100 个数字收藏品。
攻击者铸造协会 NFT 后不久,用户就开始在流行的不可替代代币市场 OpenSea 上出售它们。
攻击 交易 发生在 NBA 宣布其 NFT 的铸造活动数小时后,在撰写本文时,用户支付了 2.72 ETH 的费用,价值约 8,421 美元。
值得注意的是,最近的事态发展是建议安全开发人员对其项目合同进行充分安全审计以发现所有漏洞并避免不幸事件的原因之一。
NBA给出了他们的回应:
“我们认识到导致允许清单供应过早售罄的智能合约问题。 我们对这种情况表示歉意,目前正在确定因此无法铸造的允许名单钱包。”
我们认识到导致允许列表供应过早售罄的智能合约问题。 对于这种情况,我们深表歉意,目前正在确定因此无法铸造的允许名单钱包。
— NBAxNFT (@NBAxNFT) 2022 年 4 月 20 日
NBA 推出协会 NFT
与此同时,NBA球队下课了 其协会 NFT 的铸币活动,让列入白名单的用户有机会铸造 18,000 种资产的一部分。
根据篮球协会的说法,NFT 的一个单位代表了本赛季季后赛中真正的 NBA 球员。
正如协会网站上所指出的,NBA 球迷在购买 NFT 时不会花太多钱,因为铸币是免费的。 但是,用户将不得不支付 gas 费用,这可能会飙升至 1 ETH(3,077 美元)。
–广告–
Source: https://thecryptobasic.com/2022/04/21/loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts/?utm_source=rss&utm_medium=rss&utm_campaign=loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts