Sinamantala ng attacker ang butas at gumawa ng 100 Association NFTs.
Wala pang 24 na oras matapos ipahayag ng National Basketball Association (NBA) ang paggawa ng Ethereum-based non-fungible token (NFT), isang malaking butas ang natuklasan sa kontrata ng Association digital collectible.
Anong nangyari
Ayon sa BlockSec, isang firm na nagsasagawa ng matalinong pag-audit ng kontrata para sa mga digital na pera, ang Association NFT ay may butas na nagbibigay-daan sa isang hindi naka-whitelist na user na i-mint ang digital collectible sa pamamagitan ng pagkopya ng lagda ng mga investor na binigyan ng maagang access sa mga asset.
Nabanggit iyon ng BlockSec ang NBA Association NFT hindi kinumpirma ang mga pagkakapare-pareho ng mga naka-whitelist na lagda at address ng mga nagpadala, isang glitch na nagbibigay ng access sa mga hindi awtorisadong user na i-mint ang mga non-fungible na token sa maagang paglunsad nito.
"Ang AssociationNFT kontrata ay may kahinaan. Ang verify function ay hindi:
1) magkaroon ng nonce para minsan lang magamit
2) itali ang nagpadala ng mensahe sa pumirma," BlockSec tweeted mas maaga ngayon.
Ang #AssociationNFT ang kontrata ay may kahinaan. Ang verify function ay hindi
1) magkaroon ng nonce para minsan lang magamit
2) itali ang nagpadala ng mensahe sa pumirma@NBAxNFT
@defiprime pic.twitter.com/NsCsBFo2Yo— BlockSec (@BlockSecTeam) Abril 21, 2022
Kasunod ng pangunahing butas sa seguridad ng mga developer ng Association NFT, sinamantala ng isang attacker ang error para gumawa ng 100 unit ng digital collectible.
Ilang sandali matapos na i-mint ng attacker ang Association NFTs, ipinagpatuloy ng user ang pagbebenta ng mga ito sa sikat na non-fungible token marketplace na OpenSea.
Ang pag-atake transaksiyon naganap ilang oras matapos i-flag ng NBA ang pagmimina ng mga NFT nito, at nagbayad ang user ng bayad na 2.72 ETH na nagkakahalaga ng humigit-kumulang $8,421 sa oras ng pagsulat.
Kapansin-pansin na ang kamakailang pag-unlad ay isa sa mga dahilan kung bakit pinapayuhan ang mga developer ng seguridad na magsagawa ng sapat na pag-audit sa seguridad ng mga kontrata ng kanilang mga proyekto upang malutas ang lahat ng mga butas at maiwasan ang mga hindi magandang pangyayari.
Ang NBA ay nagbigay ng kanilang tugon:
“Kinikilala namin ang mga isyu sa matalinong kontrata na naging sanhi ng pagbebenta nang maaga sa supply ng Allow List. Humihingi kami ng paumanhin para sa sitwasyong ito at kasalukuyang tinutukoy ang mga wallet ng Allow List na hindi nagawang mag-mint bilang resulta."
Kinikilala namin ang mga isyu sa matalinong kontrata na naging sanhi ng pagbebenta nang maaga sa supply ng Allow List. Humihingi kami ng paumanhin para sa sitwasyong ito at kasalukuyang tinutukoy ang mga wallet ng Allow List na hindi nagawang mag-mint bilang resulta.
— NBAxNFT (@NBAxNFT) Abril 20, 2022
Inilunsad ng NBA ang Association NFTs
Samantala, nag-flag off ang NBA team ang pagsasanay sa paggawa ng Association NFT nito, na nagbibigay ng pagkakataon sa mga naka-whitelist na user na gumawa ng mga bahagi ng 18,000 asset.
Ayon sa asosasyon ng basketball, ang isang unit ng NFT ay kumakatawan sa isang tunay na manlalaro ng NBA na itinampok sa playoffs ngayong season.
Gaya ng nabanggit sa website ng Association, hindi gaanong babayaran ang mga tagahanga ng NBA sa pagkuha ng NFT, dahil libre ang pagmimina. Gayunpaman, ang mga user ay kailangang magbayad para sa mga gastusin, na maaaring tumaas nang kasing taas ng 1 ETH ($3,077).
- Advertising -
Source: https://thecryptobasic.com/2022/04/21/loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts/?utm_source=rss&utm_medium=rss&utm_campaign=loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts