התוקף ניצל את הפרצה והטביע 100 NFTs של האגודה.
פחות מ-24 שעות לאחר שהאיגוד הלאומי לכדורסל (NBA) הכריז על הטבעת האסימון הבלתי ניתוק (NFT) המבוסס על Ethereum, התגלתה פרצה גדולה בחוזה של האגודה הדיגיטלית לאספנות.
מה קרה
לפי BlockSec, חברה המבצעת ביקורות חוזים חכמות עבור מטבעות דיגיטליים, לאגודה NFT יש פרצה המאפשרת למשתמש שאינו ברשימת הלבנים להטביע את אספנות הדיגיטל על ידי העתקת החתימה של משקיעים שקיבלו גישה מוקדמת לנכסים.
BlockSec ציין את זה איגוד ה-NBA NFT לא אישר את העקביות של החתימות ברשימת הלבנים וכתובת השולחים, תקלה המעניקה למשתמשים לא מורשים גישה להטביע את האסימונים הלא ניתנים לשינוי בהשקה המוקדמת שלו.
"אל האני AssociationNFT לחוזה יש פגיעות. פונקציית האימות אינה:
1) יש nonce כך שניתן להשתמש בו רק פעם אחת
2) לאגד את שולח ההודעה עם החותם", BlockSec צייץ מוקדם יותר היום.
אל האני #AssociationNFT לחוזה יש פגיעות. פונקציית האימות לא עושה זאת
1) יש nonce כך שניתן להשתמש בו רק פעם אחת
2) קשר את שולח ההודעה עם החותם@NBAxNFT
@efefrime pic.twitter.com/NsCsBFo2Yo— BlockSec (@BlockSecTeam) אפריל 21, 2022
בעקבות פרצת האבטחה הגדולה של מפתחי איגוד ה-NFT, תוקף ניצל את השגיאה כדי להטביע 100 יחידות של פריט האספנות הדיגיטלי.
רגעים ספורים לאחר שהתוקף טבע את ה-NFTs של האגודה, המשתמש המשיך למכור אותם בשוק האסימונים הפופולריים OpenSea.
ההתקפה עסקה התרחש שעות לאחר ש-NBA סימנה את אירוע ההטבעה של ה-NFT שלה, והמשתמש שילם עמלה של 2.72 ETH בשווי של כ-8,421 דולר בזמן כתיבת שורות אלה.
ראוי לציין שהפיתוח האחרון הוא אחת הסיבות למפתחי אבטחה שמומלץ לבצע ביקורות אבטחה נאותות של חוזי הפרויקטים שלהם כדי לפענח את כל הפרצות ולהימנע מאירועים מצערים.
ה-NBA מסר את תגובתם:
"אנחנו מזהים את הבעיות בחוזה החכם שגרם לאספקת רשימת ההיתרים להימכר בטרם עת. אנו מתנצלים על מצב זה ומזהים כעת את ארנקי רשימת ההיתרים שלא הצליחו להטביע כתוצאה מכך."
אנו מזהים את הבעיות בחוזה החכם שגרם לאספקת ה-Allow List להימכר בטרם עת. אנו מתנצלים על מצב זה ומזהים כעת את ארנקי רשימת ההיתרים שלא הצליחו להטביע כתוצאה מכך.
— NBAxNFT (@NBAxNFT) אפריל 20, 2022
NBA משיקה NFTs של איגוד
בינתיים, קבוצת ה-NBA התעלמה תרגיל ההטבעה של האגודה שלה NFT, נותן למשתמשים ברשימת ההיתרים את ההזדמנות להטביע חלקים מ-18,000 הנכסים.
לפי איגוד הכדורסל, יחידה של ה-NFT מייצגת שחקן NBA אמיתי שמופיע בפלייאוף העונה.
כפי שצוין באתר ההתאחדות, אוהדי ה-NBA לא ישלמו הרבה ברכישת ה-NFT, שכן ההטבעה תהיה בחינם. עם זאת, המשתמשים יצטרכו לשלם עבור עלויות הגז, שעלולות להמריא עד ל-1 ETH (3,077 דולר).
- פרסומת -
Source: https://thecryptobasic.com/2022/04/21/loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts/?utm_source=rss&utm_medium=rss&utm_campaign=loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts