Užpuolikas pasinaudojo spraga ir nukaldino 100 asociacijos NFT.
Praėjus mažiau nei 24 valandoms po to, kai Nacionalinė krepšinio asociacija (NBA) paskelbė apie savo „Ethereum“ pagrindu sukurto nepakeičiamo žetono (NFT) nukaldinimą, asociacijos skaitmeninio kolekcionavimo sutartyje buvo aptikta didelė spraga.
Kas nutiko
Pasak „BlockSec“, įmonės, atliekančios išmaniųjų skaitmeninių valiutų sutarčių auditą, asociacija NFT turi spragą, leidžiančią į baltąjį sąrašą neįtrauktam vartotojui nukalti skaitmeninį kolekcionuojamą daiktą, nukopijuojant investuotojų, kuriems suteikta išankstinė prieiga prie turto, parašus.
„BlockSec“ tai pažymėjo NBA asociacija NFT nepatvirtino įtrauktų į baltąjį sąrašą parašų ir siuntėjų adresų nuoseklumo – triktis, kuri suteikia neteisėtiems naudotojams prieigą prie nekeičiamų žetonų nukaldinimo anksti paleidžiant.
"Šios AsociacijaNFT sutartis turi pažeidžiamumą. Patikrinimo funkcija neatlieka:
1) turėti „nonce“, kad jį būtų galima naudoti tik vieną kartą
2) susieti žinutės siuntėją su pasirašančiuoju“, BlockSec tweeted Šiandien anksčiau.
Šios #AsociacijaNFT sutartis turi pažeidžiamumą. Patikrinimo funkcija neveikia
1) turėti ženklą, kad jį būtų galima naudoti tik vieną kartą
2) susieti žinutės siuntėją su signataru@NBAxNFT
@defiprime pic.twitter.com/NsCsBFo2Yo— BlockSec (@BlockSecTeam) Balandis 21, 2022
Po didelės NFT kūrėjų asociacijos saugumo spragos užpuolikas pasinaudojo klaida ir nukaldino 100 vienetų skaitmeninio kolekcionavimo.
Netrukus po to, kai užpuolikas nukaldino asociacijos NFT, vartotojas pradėjo juos parduoti populiarioje nekeičiamoje žetonų rinkoje „OpenSea“.
Ataka sandoris įvyko praėjus kelioms valandoms po to, kai NBA paskelbė apie savo NFT kaldinimo įvykį, o vartotojas sumokėjo 2.72 ETH mokestį, kurio vertė buvo maždaug 8,421 XNUMX USD.
Verta paminėti, kad pastarojo meto pokyčiai yra viena iš priežasčių, kodėl saugumo kūrėjams patariama atlikti atitinkamus savo projektų sutarčių saugumo auditus, kad būtų pašalintos visos spragos ir išvengta nelaimingų incidentų.
NBA atsakė:
„Pripažįstame su išmaniąja sutartimi susijusias problemas, dėl kurių leidimų sąrašo tiekimas buvo išparduotas anksčiau laiko. Atsiprašome dėl šios situacijos ir šiuo metu nustatome leidimų sąrašo pinigines, kurių dėl to nepavyko nukaldinti.
Pripažįstame su išmaniąja sutartimi susijusias problemas, dėl kurių leidimų sąrašo tiekimas buvo išparduotas anksčiau laiko. Atsiprašome dėl šios situacijos ir šiuo metu nustatome leidimų sąrašo pinigines, kurių nepavyko nukaldinti.
– NBAxNFT (@NBAxNFT) Balandis 20, 2022
NBA pristato asociacijos NFT
Tuo tarpu NBA komanda nusileido jos asociacijos NFT kaldinimo veiklą, suteikdami į baltąjį sąrašą įtrauktiems naudotojams galimybę nukaldinti dalį 18,000 XNUMX išteklių.
Krepšinio asociacijos teigimu, NFT padalinys atstovauja tikram NBA žaidėjui, dalyvaujančiam šio sezono atkrintamosiose varžybose.
Kaip pažymima asociacijos svetainėje, NBA gerbėjai nemokės daug, kad įsigytų NFT, nes kaldinimas bus nemokamas. Tačiau vartotojai turės mokėti už dujų išlaidas, kurios gali pakilti iki 1 ETH (3,077 XNUMX USD).
- Skelbimas -
Source: https://thecryptobasic.com/2022/04/21/loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts/?utm_source=rss&utm_medium=rss&utm_campaign=loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts