El Association NFT es un NFT lanzado por la NBA. Sin embargo, encontramos que el contrato de venta del NFT tiene una vulnerabilidad grave que permite a un atacante acuñar una gran cantidad de NFTs sin pagar ningún Token.
La causa raíz de la vulnerabilidad es el uso incorrecto de la verificación de firmas. Básicamente, el contrato no garantiza que la firma solo pueda ser utilizada por el usuario (y únicamente por ese usuario) una vez. En este caso, el atacante puede reutilizar la firma de un usuario privilegiado y acuñar tokens para sí mismo.
Podemos ver que en la función verify, no se incluye la dirección del remitente en la firma. Además, no existe ningún mecanismo para incluir un nonce que garantice que la firma solo pueda utilizarse una vez. Estos requisitos de seguridad son conocimientos básicos en cualquier curso de seguridad de software.
Nos sorprende que una vulnerabilidad de este tipo pueda existir en un proyecto NFT tan popular. Toda la comunidad necesita prestar más atención a la seguridad de los contratos.
Acerca de BlockSec
BlockSec es una empresa pionera en seguridad blockchain fundada en 2021 por un grupo de expertos en seguridad de reconocimiento mundial. La empresa está comprometida con mejorar la seguridad y la usabilidad del emergente mundo Web3 con el fin de facilitar su adopción masiva. Con este objetivo, BlockSec ofrece servicios de auditoría de seguridad de contratos inteligentes y cadenas EVM, la plataforma Phalcon para el desarrollo seguro y el bloqueo proactivo de amenazas, la plataforma MetaSleuth para el rastreo e investigación de fondos, y la extensión MetaSuites para que los desarrolladores de web3 naveguen de forma eficiente en el mundo cripto.
Hasta la fecha, la empresa ha prestado servicios a más de 300 distinguidos clientes como MetaMask, Uniswap Foundation, Compound, Forta y PancakeSwap, y ha recibido decenas de millones de dólares estadounidenses en dos rondas de financiación de inversores destacados, entre ellos Matrix Partners, Vitalbridge Capital y Fenbushi Capital.
Sitio web oficial: https://blocksec.com/
Cuenta oficial de Twitter: https://twitter.com/BlockSecTeam
