Uzbrucējs izmantoja nepilnības un izkala 100 asociācijas NFT.
Mazāk nekā 24 stundas pēc tam, kad Nacionālā basketbola asociācija (NBA) paziņoja par tās Ethereum bāzes neaizvietojamā marķiera (NFT) kalšanu, asociācijas digitālā kolekcionējamā objekta līgumā ir atklāta liela nepilnība.
Kas notika
Saskaņā ar BlockSec, firma, kas veic digitālo valūtu viedo līgumu auditu, norāda, ka asociācijai NFT ir nepilnība, kas ļauj baltajā sarakstā neiekļautam lietotājam kalt digitālo kolekcionējamo priekšmetu, kopējot to investoru parakstus, kuriem ir agrīna piekļuve aktīviem.
BlockSec to atzīmēja NBA asociācija NFT neapstiprināja baltajā sarakstā iekļauto parakstu un sūtītāja adreses konsekvenci — kļūme, kas nodrošina neautorizētiem lietotājiem piekļuvi neaizvietojamu marķieru kalšanai tās agrīnās palaišanas brīdī.
"Jūsu darbs IR Klientu apkalpošana AsociācijaNFT līgumam ir ievainojamība. Pārbaudes funkcija neveic:
1) jābūt noncs, lai to varētu izmantot tikai vienu reizi
2) sasaistīt ziņojuma sūtītāju ar parakstītāju. BlockSec tweeted agrāk šodien.
Jūsu darbs IR Klientu apkalpošana #AsociācijaNFT līgumam ir ievainojamība. Pārbaudes funkcija nedarbojas
1) jābūt noncs, lai to varētu izmantot tikai vienu reizi
2) sasiet ziņojuma sūtītāju ar parakstītāju@NBAxNFT
@defiprime pic.twitter.com/NsCsBFo2Yo— BlockSec (@BlockSecTeam) Aprīlis 21, 2022
Pēc NFT asociācijas izstrādātāju lielās drošības nepilnības uzbrucējs ir izmantojis kļūdu, lai izveidotu 100 digitālā kolekcionējamā materiāla vienības.
Brīdi pēc tam, kad uzbrucējs izkala asociācijas NFT, lietotājs sāka tos pārdot populārajā neaizvietojamo marķieru tirgū OpenSea.
Uzbrukums darījums notika dažas stundas pēc tam, kad NBA atzīmēja savu NFT kalšanas notikumu, un rakstīšanas laikā lietotājs samaksāja nodevu 2.72 ETH apmērā aptuveni 8,421 USD vērtībā.
Ir vērts atzīmēt, ka nesenā attīstība ir viens no iemesliem, kāpēc drošības izstrādātājiem tiek ieteikts veikt atbilstošus savu projektu līgumu drošības auditus, lai novērstu visas nepilnības un izvairītos no neveiksmīgiem incidentiem.
NBA sniedza savu atbildi:
“Mēs apzināmies problēmas saistībā ar viedo līgumu, kas izraisīja atļauju saraksta piedāvājumu priekšlaicīgu izpārdošanu. Mēs atvainojamies par šo situāciju un pašlaik identificējam atļaušanas saraksta makus, kurus nevarēja izveidot.
Mēs apzināmies problēmas saistībā ar viedo līgumu, kas izraisīja atļaušanas saraksta piedāvājumu priekšlaicīgu izpārdošanu. Mēs atvainojamies par šo situāciju un pašlaik identificējam atļaušanas saraksta makus, kurus tā rezultātā nevarēja izveidot.
— NBAxNFT (@NBAxNFT) Aprīlis 20, 2022
NBA uzsāk asociācijas NFT
Tikmēr NBA komanda atzīmējās tās asociācijas NFT kalšanas darbību, dodot baltajā sarakstā iekļautajiem lietotājiem iespēju kalt daļu no 18,000 XNUMX līdzekļiem.
Basketbola asociācija norāda, ka NFT vienība pārstāv īstu NBA spēlētāju, kas iekļauts šīs sezonas izslēgšanas spēlēs.
Kā norādīts asociācijas vietnē, NBA fani par NFT iegādi nemaksās daudz, jo kalšana būs bez maksas. Tomēr lietotājiem būs jāmaksā par gāzes izmaksām, kas varētu pieaugt līdz 1 ETH (3,077 USD).
- Reklāma -
Source: https://thecryptobasic.com/2022/04/21/loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts/?utm_source=rss&utm_medium=rss&utm_campaign=loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts