Ründaja kasutas lünka ära ja vermis 100 Association NFT-d.
Vähem kui 24 tundi pärast seda, kui National Basketball Association (NBA) teatas oma Ethereumil põhineva mitteasendatava märgi (NFT) vermimisest, avastati liidu digitaalse kogumisobjekti lepingus suur lünk.
Mis juhtus
Digitaalsete valuutade nutikaid lepingute auditeid läbi viiva ettevõtte BlockSeci sõnul on Association NFT-l lünk, mis võimaldab valgesse nimekirja mittekuuluval kasutajal digitaalset kogumisobjekti vermida, kopeerides varadele varajase juurdepääsu saanud investorite allkirjad.
BlockSec märkis seda NBA assotsiatsioon NFT ei kinnitanud valgesse nimekirja kantud allkirjade ja saatjate aadresside järjepidevust – tõrge, mis annab volitamata kasutajatele juurdepääsu mitteasendatavatele žetoonidele selle varajasel käivitamisel.
". ÜhendusNFT lepingul on haavatavus. Kinnitusfunktsioon ei:
1) omama nonce'i, et seda saaks kasutada ainult üks kord
2) siduda sõnumisaatja allkirjastajaga. BlockSec tweeted täna varem.
. #AssociationNFT lepingul on haavatavus. Kinnitusfunktsioon seda ei tee
1) omama nonce'i, et seda saaks kasutada ainult üks kord
2) siduda sõnumisaatja allkirjastajaga@NBAxNFT
@ defefime pic.twitter.com/NsCsBFo2Yo— BlockSec (@BlockSecTeam) Aprill 21, 2022
Pärast Assotsiatsiooni NFT arendajate suurt turvalünka on ründaja kasutanud viga, et vermida 100 ühikut digitaalset kogumisobjekti.
Mõni hetk pärast seda, kui ründaja lõi Assotsiatsiooni NFT-d, asus kasutaja neid müüma populaarsel mitteasendataval märgiturul OpenSea.
Rünnak tehing toimus mõni tund pärast seda, kui NBA oma NFT-de vermimisürituse välja kuulutas ja kasutaja maksis artikli kirjutamise ajal tasu 2.72 ETH väärtuses ligikaudu 8,421 dollarit.
Väärib märkimist, et hiljutine areng on üks põhjusi, miks turbearendajatel soovitatakse läbi viia projektide lepingute piisavad turvaauditid, et kõik lüngad lahti harutada ja kahetsusväärseid juhtumeid vältida.
NBA andis oma vastuse:
„Tunnistame nutika lepinguga seotud probleeme, mis põhjustasid lubade nimekirja pakkumise enneaegse väljamüümise. Vabandame selle olukorra pärast ja tuvastame praegu lubade loendi rahakotte, mida ei saanud seetõttu vermida.
Tunnistame nutika lepinguga seotud probleeme, mis põhjustasid lubade loendi pakkumise enneaegse väljamüümise. Vabandame selle olukorra pärast ja tuvastame praegu lubatud loendi rahakotte, mida ei saanud seetõttu vermida.
— NBAxNFT (@NBAxNFT) Aprill 20, 2022
NBA käivitas Assotsiatsiooni NFT-d
Vahepeal liputas NBA meeskond Assotsiatsiooni NFT vermimine, mis annab valgesse nimekirja kantud kasutajatele võimaluse vermida osa 18,000 XNUMX varast.
Korvpalliliidu teatel esindab NFT üksus tõelist NBA mängijat, kes pääseb tänavuse hooaja play-off ’idesse.
Nagu ühingu veebisaidil märgitud, ei maksa NBA fännid NFT omandamise eest palju, kuna vermimine on tasuta. Kasutajad peavad aga maksma gaasikulude eest, mis võivad tõusta 1 ETH-ni (3,077 dollarit).
- reklaam -
Source: https://thecryptobasic.com/2022/04/21/loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts/?utm_source=rss&utm_medium=rss&utm_campaign=loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts