Зламыснік выкарыстаў шчыліну і адчаканіў 100 NFT Асацыяцыі.
Менш чым праз 24 гадзіны пасля таго, як Нацыянальная баскетбольная асацыяцыя (NBA) абвясціла аб выпуску свайго незаменнага токена (NFT) на аснове Ethereum, у кантракце Асацыяцыі на лічбавы калекцыйны прадмет была выяўлена вялікая шчыліна.
Што здарылася
Па дадзеных BlockSec, фірмы, якая праводзіць аўдыт смарт-кантрактаў для лічбавых валют, у Association NFT ёсць шчыліна, якая дазваляе карыстальнікам, якія не ўваходзяць у белы спіс, чаканіць лічбавы прадмет калекцыянавання, капіруючы подпісы інвестараў, якія атрымалі ранні доступ да актываў.
BlockSec адзначыў, што Асацыяцыя НБА NFT не пацвердзіў адпаведнасць подпісаў у белым спісе і адраса адпраўшчыка, глюк, які дае несанкцыянаваным карыстальнікам доступ да чаканкі незаменных токенаў пры раннім запуску.
",en АсацыяцыяNFT кантракт мае ўразлівасць. Функцыя праверкі не:
1) мець nonce, каб яго можна было выкарыстоўваць толькі адзін раз
2) звязаць адпраўшчыка паведамлення з падпісантам,» BlockSec чирикнул Раней сёння.
,en #АсацыяцыяNFT кантракт мае ўразлівасць. Функцыя праверкі гэтага не робіць
1) мець nonce, каб яго можна было выкарыстоўваць толькі адзін раз
2) звязаць адпраўшчыка паведамлення з падпісантам@NBAxNFT
@defiprime pic.twitter.com/NsCsBFo2Yo— BlockSec (@BlockSecTeam) Красавік 21, 2022
Пасля сур'ёзнай шчыліны ў бяспецы распрацоўшчыкаў Association NFT зламыснік скарыстаўся памылкай, каб адчаканіць 100 адзінак лічбавага калекцыйнага прадмета.
Праз некалькі імгненняў пасля таго, як зламыснік адчаканіў Association NFT, карыстальнік пачаў прадаваць іх на папулярным рынку незаменных токенаў OpenSea.
Напад здзелка адбылося праз некалькі гадзін пасля таго, як NBA абвясціла аб падзеі чаканкі сваіх NFT, і карыстальнік заплаціў збор у памеры 2.72 ETH на суму каля 8,421 даляра на момант напісання.
Варта адзначыць, што нядаўняя распрацоўка з'яўляецца адной з прычын, па якой распрацоўшчыкам бяспекі рэкамендуецца праводзіць належныя аўдыты бяспекі кантрактаў сваіх праектаў, каб раскрыць усе шчыліны і пазбегнуць няшчасных інцыдэнтаў.
НБА адказала:
«Мы ўсведамляем праблемы са смарт-кантрактам, якія прывялі да заўчаснага распродажу паставак са спісу дазволеных. Мы прыносім прабачэнні за гэтую сітуацыю і ў цяперашні час ідэнтыфікуем кашалькі са спісу дазволеных спісаў, якія ў выніку не змаглі чаканіць».
Мы прызнаем праблемы са смарт-кантрактам, якія прывялі да заўчаснага распродажу паставак са спісу дазволеных тавараў. Мы прыносім свае прабачэнні за гэтую сітуацыю і зараз ідэнтыфікуем кашалькі са спісу дазволеных, якія ў выніку не змаглі адчаканіць.
— NBAxNFT (@NBAxNFT) Красавік 20, 2022
NBA запускае асацыяцыю NFT
Тым часам каманда НБА спынілася чаканка сваёй Асацыяцыі NFT, што дае карыстальнікам з белага спісу магчымасць чаканіць часткі з 18,000 XNUMX актываў.
Па дадзеных баскетбольнай асацыяцыі, падраздзяленне NFT прадстаўляе сапраўднага гульца НБА, які ўдзельнічае ў плэй-оф гэтага сезона.
Як адзначаецца на сайце Асацыяцыі, фанаты NBA не будуць плаціць шмат за набыццё NFT, паколькі чаканка будзе бясплатнай. Тым не менш, карыстальнікам давядзецца заплаціць за газ, які можа ўзляцець да 1 ETH (3,077 долараў).
- Рэклама -
Source: https://thecryptobasic.com/2022/04/21/loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts/?utm_source=rss&utm_medium=rss&utm_campaign=loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts