Association NFTは、NBAがローンチしたNFTです。しかし、NFT販売のコントラクトに重大な脆弱性があることを発見しました。この脆弱性により、攻撃者はトークンを一切支払うことなく、大量のNFTをミント(発行)できます。
この脆弱性の根本原因は、署名検証の誤用です。基本的に、コントラクトは署名がユーザーによって(そしてユーザーのみによって)一度しか使用できないことを保証できていません。この場合、攻撃者は特権ユーザーの署名を再利用して、自分自身にトークンをミントできます。
verify関数において、署名に送信者のアドレスが含まれていないことがわかります。さらに、署名が一度しか使用できないことを保証するためのnonce(ナンス)を含めるメカニズムもありません。これらのセキュリティ要件は、ソフトウェアセキュリティのクラスにおける基本的な知識です。
このような脆弱性が、人気のNFTプロジェクトに存在することに驚いています。コミュニティ全体で、コントラクトのセキュリティにもっと注意を払う必要があります。
BlockSecについて
BlockSecは、2021年に世界的に著名なセキュリティ専門家グループによって設立された、先駆的なブロックチェーンセキュリティ企業です。同社は、Web3の世界におけるセキュリティとユーザビリティの向上に尽力し、その大規模な普及を促進することを目指しています。そのために、BlockSecはスマートコントラクトおよびEVMチェーンのセキュリティ監査サービス、セキュリティ開発と脅威のプロアクティブなブロックのためのPhalconプラットフォーム、資金追跡と調査のためのMetaSleuthプラットフォーム、そしてWeb3開発者が仮想通貨の世界を効率的にサーフィンするためのMetaSuites拡張機能を提供しています。
現在までに、同社はMetaMask、Uniswap Foundation、Compound、Forta、PancakeSwapなど300社以上の著名なクライアントにサービスを提供し、Matrix Partners、Vitalbridge Capital、Fenbushi Capitalを含む著名な投資家から2回の資金調達で数千万米ドルを獲得しています。
公式ウェブサイト: https://blocksec.com/
公式Twitterアカウント: https://twitter.com/BlockSecTeam
