Das Association NFT ist ein von der NBA gestartetes NFT. Wir stellen jedoch fest, dass der NFT-Verkaufsvertrag eine ernsthafte Schwachstelle aufweist, die es einem Angreifer ermöglicht, eine große Anzahl von NFTs zu prägen, ohne Token zu bezahlen.
Die Hauptursache der Schwachstelle ist die fehlerhafte Verwendung der Signaturüberprüfung. Grundsätzlich stellt der Vertrag nicht sicher, dass die Signatur nur einmal vom Benutzer (und nur vom Benutzer) verwendet werden kann. In diesem Fall kann der Angreifer die Signatur eines privilegierten Benutzers wiederverwenden und Token für sich selbst prägen.
Wir sehen, dass in der verify-Funktion die Adresse des Absenders nicht in der Signatur enthalten ist. Außerdem gibt es keinen Mechanismus, um eine Nonce einzuschließen, die sicherstellt, dass die Signatur nur einmal verwendet werden kann. Diese Sicherheitsanforderungen sind Grundlagenwissen in Kursen zur Softwaresicherheit.
Wir sind überrascht, wie eine solche Schwachstelle in einem beliebten NFT-Projekt bestehen kann. Die gesamte Community muss der Sicherheit von Smart Contracts mehr Aufmerksamkeit schenken.
Über BlockSec
BlockSec ist ein Pionierunternehmen im Bereich der Blockchain-Sicherheit, das 2021 von einer Gruppe weltweit angesehener Sicherheitsexperten gegründet wurde. Das Unternehmen hat sich zum Ziel gesetzt, die Sicherheit und Benutzerfreundlichkeit der aufstrebenden Web3-Welt zu verbessern, um deren Massenakzeptanz zu fördern. Zu diesem Zweck bietet BlockSec Dienstleistungen für die Sicherheitsüberprüfung von Smart Contracts und EVM-Chains, die Phalcon-Plattform für die Sicherheitsentwicklung und proaktive Bedrohungsblockierung, die MetaSleuth-Plattform für die Verfolgung und Untersuchung von Geldern sowie die MetaSuites-Erweiterung für Web3-Entwickler zur effizienten Navigation in der Krypto-Welt an.
Bis heute hat das Unternehmen über 300 angesehene Kunden wie MetaMask, Uniswap Foundation, Compound, Forta und PancakeSwap betreut und in zwei Finanzierungsrunden von namhaften Investoren, darunter Matrix Partners, Vitalbridge Capital und Fenbushi Capital, zweistellige Millionenbeträge erhalten.
Offizielle Website: https://blocksec.com/
Offizieller Twitter-Account: https://twitter.com/BlockSecTeam
