Napadalec je izkoristil vrzel in skoval 100 združenj NFT.
Manj kot 24 ur po tem, ko je Nacionalna košarkarska zveza (NBA) objavila kovanje svojega nezamenljivega žetona (NFT), ki temelji na Ethereumu, je bila v pogodbi združenja za digitalno zbirateljstvo odkrita velika vrzel.
Kaj se je zgodilo
Po mnenju BlockSec, podjetja, ki izvaja revizije pametnih pogodb za digitalne valute, ima združenje NFT vrzel, ki uporabniku, ki ni na belem seznamu, omogoča, da kuje digitalni zbirateljski predmet s kopiranjem podpisa vlagateljev, ki jim je dal zgodnji dostop do sredstev.
BlockSec je to opazil združenje NBA NFT ni potrdil doslednosti podpisov na seznamu dovoljenih in naslova pošiljatelja, kar je napaka, ki nepooblaščenim uporabnikom omogoča dostop do kovanja nezamenljivih žetonov ob zgodnjem zagonu.
"O ZdruženjeNFT pogodba ima ranljivost. Funkcija preverjanja ne:
1) imeti nonce, tako da ga je mogoče uporabiti samo enkrat
2) povežite pošiljatelja sporočila s podpisnikom,« BlockSec tweeted prej danes.
O #ZdruženjeNFT pogodba ima ranljivost. Funkcija preverjanja ne
1) imeti nonce, tako da ga je mogoče uporabiti samo enkrat
2) povežite pošiljatelja sporočila s podpisnikom@NBAxNFT
@defiprime pic.twitter.com/NsCsBFo2Yo— BlockSec (@BlockSecTeam) April 21, 2022
Po večji varnostni vrzeli, ki so jo naredili razvijalci Združenja NFT, je napadalec izkoristil napako za kovanje 100 enot digitalnega zbirateljstva.
Nekaj trenutkov po tem, ko je napadalec skoval združenja NFT, jih je uporabnik nadaljeval s prodajo na priljubljenem trgu žetonov, ki ni zamenljiv, OpenSea.
Napad transakcija se je zgodilo nekaj ur po tem, ko je NBA označila dogodek kovanja svojih NFT, uporabnik pa je v času pisanja plačal pristojbino v višini 2.72 ETH v vrednosti približno 8,421 $.
Omeniti velja, da je nedavni razvoj eden od razlogov, zakaj razvijalcem varnosti svetujemo, naj opravijo ustrezne varnostne revizije pogodb svojih projektov, da bi odpravili vse vrzeli in se izognili nesrečnim incidentom.
NBA je odgovorila:
»Prepoznavamo težave s pametno pogodbo, zaradi katere je bila ponudba na seznamu dovoljenih predčasno razprodana. Opravičujemo se za to situacijo in trenutno identificiramo denarnice na seznamu dovoljenj, ki jih zaradi tega ni bilo mogoče izdelati.”
Zavedamo se težav s pametno pogodbo, zaradi katerih je bila ponudba na seznamu dovoljenj prezgodaj razprodana. Opravičujemo se za to situacijo in trenutno identificiramo denarnice na seznamu dovoljenj, ki jih zaradi tega ni bilo mogoče izdelati.
— NBAxNFT (@NBAxNFT) April 20, 2022
NBA lansira združenje NFT
Medtem je ekipa NBA izpadla kovanje svojega združenja NFT, kar daje uporabnikom na seznamu dovoljenih možnost, da kovajo dele 18,000 sredstev.
Po podatkih košarkarske zveze enota NFT predstavlja pravega igralca lige NBA, ki je nastopil v letošnji končnici.
Kot je navedeno na spletni strani združenja, navijači NBA ne bodo plačali veliko pri nakupu NFT, saj bo kovanje brezplačno. Vendar bodo uporabniki morali plačati stroške plina, ki bi lahko narasli celo do 1 ETH (3,077 $).
- Oglas -
Source: https://thecryptobasic.com/2022/04/21/loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts/?utm_source=rss&utm_medium=rss&utm_campaign=loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts