Apr 21 2022

Wie man eine Signatur falsch verifiziert – Der AssociationNFT-Fall

Das Association NFT ist ein von der NBA gestartetes NFT. Wir stellen jedoch fest, dass der NFT-Verkaufsvertrag eine ernsthafte Schwachstelle aufweist, die es einem Angreifer ermöglicht, eine große Anzahl von NFTs zu prägen, ohne Token zu bezahlen.

Die Hauptursache der Schwachstelle ist die fehlerhafte Verwendung der Signaturüberprüfung. Grundsätzlich stellt der Vertrag nicht sicher, dass die Signatur nur einmal vom Benutzer (und nur vom Benutzer) verwendet werden kann. In diesem Fall kann der Angreifer die Signatur eines privilegierten Benutzers wiederverwenden und Token für sich selbst prägen.

Wir sehen, dass in der verify-Funktion die Adresse des Absenders nicht in der Signatur enthalten ist. Außerdem gibt es keinen Mechanismus, um eine Nonce einzuschließen, die sicherstellt, dass die Signatur nur einmal verwendet werden kann. Diese Sicherheitsanforderungen sind Grundlagenwissen in Kursen zur Softwaresicherheit.

Wir sind überrascht, wie eine solche Schwachstelle in einem beliebten NFT-Projekt bestehen kann. Die gesamte Community muss der Sicherheit von Smart Contracts mehr Aufmerksamkeit schenken.

Über BlockSec

BlockSec ist ein Pionierunternehmen im Bereich der Blockchain-Sicherheit, das 2021 von einer Gruppe weltweit angesehener Sicherheitsexperten gegründet wurde. Das Unternehmen hat sich zum Ziel gesetzt, die Sicherheit und Benutzerfreundlichkeit der aufstrebenden Web3-Welt zu verbessern, um deren Massenakzeptanz zu fördern. Zu diesem Zweck bietet BlockSec Dienstleistungen für die Sicherheitsüberprüfung von Smart Contracts und EVM-Chains, die Phalcon-Plattform für die Sicherheitsentwicklung und proaktive Bedrohungsblockierung, die MetaSleuth-Plattform für die Verfolgung und Untersuchung von Geldern sowie die MetaSuites-Erweiterung für Web3-Entwickler zur effizienten Navigation in der Krypto-Welt an.

Bis heute hat das Unternehmen über 300 angesehene Kunden wie MetaMask, Uniswap Foundation, Compound, Forta und PancakeSwap betreut und in zwei Finanzierungsrunden von namhaften Investoren, darunter Matrix Partners, Vitalbridge Capital und Fenbushi Capital, zweistellige Millionenbeträge erhalten.

Offizielle Website: https://blocksec.com/

Offizieller Twitter-Account: https://twitter.com/BlockSecTeam

Feb 18 2026

Weekly Web3 Security Incident Roundup | Feb 9 – Feb 15, 2026

During the week of February 9 to February 15, 2026, three blockchain security incidents were reported with total losses of ~$657K. All incidents occurred on the BNB Smart Chain and involved flawed business logic in DeFi token contracts. The primary causes included an unchecked balance withdrawal from an intermediary contract that allowed donation-based inflation of a liquidity addition targeted by a sandwich attack, a post-swap deflationary clawback that returned sold tokens to the caller while draining pool reserves to create a repeatable price-manipulation primitive, and a token transfer override that burned tokens directly from a Uniswap V2 pair's balance and force-synced reserves within the same transaction to artificially inflate the token price.

Feb 14 2026

Top 10 "Awesome" Security Incidents in 2025

To help the community learn from what happened, BlockSec selected ten incidents that stood out most this year. These cases were chosen not only for the scale of loss, but also for the distinct techniques involved, the unexpected twists in execution, and the new or underexplored attack surfaces they revealed.

Feb 13 2026

#10 Panoptic Incident: XOR Linearity Breaks the Position Fingerprint Scheme

On August 29, 2025, Panoptic disclosed a Cantina bounty finding and confirmed that, with support from Cantina and Seal911, it executed a rescue operation on August 25 to secure roughly $400K in funds. The issue stemmed from a flaw in Panoptic’s position fingerprint calculation algorithm, which could have enabled incorrect position identification and downstream fund risk.