De aanvaller maakte gebruik van de maas in de wet en sloeg 100 Association NFT's.
Minder dan 24 uur nadat de National Basketball Association (NBA) de uitgifte van haar op Ethereum gebaseerde non-fungible token (NFT) aankondigde, is er een grote maas in het contract van de Association Digital Collectible ontdekt.
Wat is er gebeurd
Volgens BlockSec, een bedrijf dat slimme contractcontroles uitvoert voor digitale valuta, heeft de Association NFT een maas in de wet waardoor een gebruiker die niet op de witte lijst staat het digitale verzamelobject kan slaan door de handtekening te kopiëren van investeerders die vroegtijdig toegang hebben gekregen tot de activa.
BlockSec merkte dat op de NBA Vereniging NFT heeft de consistentie van de op de witte lijst geplaatste handtekeningen en het adres van de afzender niet bevestigd, een storing die ongeautoriseerde gebruikers toegang geeft tot het slaan van de niet-verwisselbare tokens bij de vroege lancering.
"De VerenigingNFT contract heeft een kwetsbaarheid. De verificatiefunctie doet niet:
1) een nonce hebben zodat deze maar één keer kan worden gebruikt
2) bind de afzender van het bericht met de ondertekenaar, " BlokSec tweeted eerder vandaag.
De #VerenigingNFT contract heeft een kwetsbaarheid. De verificatiefunctie niet
1) een nonce hebben zodat deze maar één keer kan worden gebruikt
2) bind de afzender van het bericht met de ondertekenaar@NBAxNFT
@Defiprime pic.twitter.com/NsCsBFo2Yo— BlockSec (@BlockSecTeam) 21 april 2022
Na de grote beveiligingslek door de ontwikkelaars van de Association NFT, heeft een aanvaller misbruik gemaakt van de fout om 100 eenheden van het digitale verzamelobject te slaan.
Even nadat de aanvaller de NFT's van de Association had geslagen, verkocht de gebruiker ze op de populaire niet-fungibele tokenmarktplaats OpenSea.
De aanval transactie vond plaats uren nadat NBA het muntevenement van zijn NFT's had afgevlagd, en de gebruiker betaalde op het moment van schrijven een vergoeding van 2.72 ETH ter waarde van ongeveer $ 8,421.
Het is vermeldenswaard dat de recente ontwikkeling een van de redenen is waarom beveiligingsontwikkelaars worden geadviseerd om adequate beveiligingsaudits van de contracten van hun projecten uit te voeren om alle mazen in de wet te ontrafelen en ongelukkige incidenten te voorkomen.
De NBA gaf hun reactie:
“We erkennen de problemen met het slimme contract waardoor het aanbod van de toelatingslijst voortijdig uitverkocht was. Onze excuses voor deze situatie en we identificeren momenteel de Allow List-portemonnees die hierdoor niet konden minten.
We erkennen de problemen met het slimme contract waardoor het aanbod van de toelatingslijst voortijdig uitverkocht raakte. Onze excuses voor deze situatie en we identificeren momenteel de Allow List-portemonnees die hierdoor niet konden minten.
— NBAxNFT (@NBAxNFT) 20 april 2022
NBA lanceert Association NFT's
Ondertussen vlagde het NBA-team af de muntoefening van haar Vereniging NFT, waardoor gebruikers op de witte lijst de mogelijkheid krijgen om delen van de 18,000 activa te minen.
Volgens de basketbalbond vertegenwoordigt een onderdeel van de NFT een echte NBA-speler die dit seizoen in de play-offs speelt.
Zoals vermeld op de Association-website, zullen NBA-fans niet veel betalen voor het verwerven van de NFT, aangezien het slaan gratis is. Gebruikers zullen echter moeten betalen voor gaskosten, die kunnen oplopen tot 1 ETH ($ 3,077).
- Advertentie -
Source: https://thecryptobasic.com/2022/04/21/loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts/?utm_source=rss&utm_medium=rss&utm_campaign=loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts