The Association NFTは、NBAがローンチしたNFTです。しかし、NFT販売のコントラクトには、攻撃者がトークンを一切支払わずに大量のNFTをミントできる、深刻な脆弱性が存在することを発見しました。
この脆弱性の根本原因は、署名検証の誤用です。基本的に、コントラクトは署名がユーザー(かつユーザーのみ)によって一度しか使用できないことを保証できていません。この場合、攻撃者は特権ユーザーの署名を再利用して、自身のためにトークンをミントすることができます。
verify 関数では、署名に送信者のアドレスが含まれていません。さらに、署名が一度しか使用できないことを保証するためのnonceを含めるメカニズムがありません。これらのセキュリティ要件は、ソフトウェアセキュリティクラスの基本的な知識です。
このような脆弱性が、人気のあるNFTプロジェクトに存在することに驚いています。コミュニティ全体として、コントラクトのセキュリティにもっと注意を払う必要があります。
BlockSecについて
BlockSecは、2021年に世界的に著名なセキュリティ専門家グループによって設立された、先駆的なブロックチェーンセキュリティ企業です。当社は、Web3の世界のセキュリティとユーザビリティを向上させ、その大規模な普及を促進することにコミットしています。そのために、BlockSecはスマートコントラクトおよびEVMチェーンのセキュリティ監査サービス、セキュリティ開発と脅威のプロアクティブなブロックのためのPhalconプラットフォーム、資金追跡と捜査のためのMetaSleuthプラットフォーム、そしてWeb3ビルダーが暗号通貨の世界を効率的にサーフィンするためのMetaSuites拡張機能を提供しています。
現在までに、当社はMetaMask、Uniswap Foundation、Compound、Forta、PancakeSwapなど300社以上の著名なクライアントにサービスを提供し、Matrix Partners、Vitalbridge Capital、Fenbushi Capitalを含む著名な投資家から2回の資金調達ラウンドで数千万米ドルを受け取っています。
公式サイト:https://blocksec.com/
公式Twitterアカウント:https://twitter.com/BlockSecTeam
