Das Association NFT ist ein von der NBA gestartetes NFT. Wir stellen jedoch fest, dass der Vertrag für den NFT-Verkauf eine ernste Schwachstelle aufweist, die es einem Angreifer ermöglicht, eine große Anzahl von NFTs zu prägen, ohne dafür Token zu bezahlen.
Die Hauptursache der Schwachstelle ist die falsche Verwendung der Signaturüberprüfung. Grundsätzlich stellt der Vertrag nicht sicher, dass die Signatur nur einmal vom Benutzer (und nur vom Benutzer) verwendet werden kann. In diesem Fall kann der Angreifer die Signatur eines privilegierten Benutzers wiederverwenden und Token an sich selbst prägen.
Wir sehen, dass in der Funktion verify die Adresse des Absenders nicht in der Signatur enthalten ist. Außerdem gibt es keinen Mechanismus, der eine Nonce einschließt, um sicherzustellen, dass die Signatur nur einmal verwendet werden kann. Diese Sicherheitsanforderungen sind Grundlagenwissen in der Vorlesung Software-Sicherheit.
Wir sind überrascht, wie eine solche Schwachstelle in einem beliebten NFT-Projekt bestehen kann. Die gesamte Community muss der Sicherheit von Smart Contracts mehr Aufmerksamkeit schenken.
Über BlockSec
BlockSec ist ein wegweisendes Blockchain-Sicherheitsunternehmen, das 2021 von einer Gruppe weltweit anerkannter Sicherheitsexperten gegründet wurde. Das Unternehmen engagiert sich für die Verbesserung der Sicherheit und Benutzerfreundlichkeit der aufkommenden Web3-Welt, um deren Massenadoption zu fördern. Zu diesem Zweck bietet BlockSec Dienstleistungen für die Sicherheitsprüfung von Smart Contracts und EVM-Chains, die Phalcon-Plattform für die Sicherheitsentwicklung und die proaktive Abwehr von Bedrohungen, die MetaSleuth-Plattform für die Geldverfolgung und -untersuchung sowie die MetaSuites-Erweiterung für Web3-Entwickler, die effizient in der Krypto-Welt surfen.
Bislang hat das Unternehmen über 300 renommierte Kunden wie MetaMask, Uniswap Foundation, Compound, Forta und PancakeSwap betreut und in zwei Finanzierungsrunden von namhaften Investoren, darunter Matrix Partners, Vitalbridge Capital und Fenbushi Capital, zweistellige Millionenbeträge erhalten.
Offizielle Website: https://blocksec.com/
Offizielles Twitter-Konto: https://twitter.com/BlockSecTeam
