
Association NFT는 NBA가 출시한 NFT입니다. 그러나 해당 NFT 판매 컨트랙트에는 공격자가 어떠한 토큰도 지불하지 않고 대량의 NFT를 민팅할 수 있는 심각한 취약점이 존재하는 것을 발견했습니다.
이 취약점의 근본 원인은 서명 검증의 잘못된 사용입니다. 기본적으로 해당 컨트랙트는 서명이 특정 사용자에 의해 단 한 번만 사용될 수 있도록 보장하는 데 실패했습니다. 이로 인해 공격자는 권한 있는 사용자의 서명을 재사용하여 자신에게 토큰을 민팅할 수 있습니다.


verify 함수에는 서명 내에 발신자의 주소가 포함되어 있지 않습니다. 또한 서명이 한 번만 사용될 수 있도록 보장하는 논스(nonce) 메커니즘도 존재하지 않습니다. 이러한 보안 요건은 소프트웨어 보안 수업에서 다루는 기초적인 지식입니다.
이처럼 인기 있는 NFT 프로젝트에 이러한 취약점이 존재할 수 있다는 사실에 놀라움을 금치 못합니다. 커뮤니티 전체가 컨트랙트 보안에 더욱 주의를 기울일 필요가 있습니다.
BlockSec 소개
BlockSec은 세계적으로 저명한 보안 전문가들이 2021년에 설립한 선도적인 블록체인 보안 회사입니다. 이 회사는 대중적 채택을 촉진하기 위해 새롭게 부상하는 Web3 세계의 보안과 사용성 향상에 전념하고 있습니다. 이를 위해 BlockSec은 스마트 컨트랙트 및 EVM 체인 보안 감사 서비스, 보안 개발 및 위협 사전 차단을 위한 Phalcon 플랫폼, 자금 추적 및 조사를 위한 MetaSleuth 플랫폼, 그리고 Web3 빌더들이 크립토 세계를 효율적으로 탐색할 수 있도록 돕는 MetaSuites 확장 프로그램을 제공합니다.
현재까지 MetaMask, Uniswap Foundation, Compound, Forta, PancakeSwap 등 300개 이상의 저명한 고객사에 서비스를 제공했으며, Matrix Partners, Vitalbridge Capital, Fenbushi Capital 등 저명한 투자자들로부터 두 차례의 투자 라운드를 통해 수천만 달러를 유치했습니다.
공식 웹사이트: https://blocksec.com/
공식 트위터 계정: https://twitter.com/BlockSecTeam



