Back to Blog

Como Verificar uma Assinatura da Forma Errada — O Caso AssociationNFT

Code Auditing
April 21, 2022
2 min read
Image: Raymond Clarke/Flickr
Image: Raymond Clarke/Flickr

O Association NFT é um NFT lançado pela NBA. No entanto, descobrimos que o contrato de venda do NFT possui uma vulnerabilidade grave que permite a um atacante cunhar uma grande quantidade de NFTs sem pagar nenhum Token.

A causa raiz da vulnerabilidade é o uso incorreto da verificação de assinatura. Basicamente, o contrato falha em garantir que a assinatura só possa ser utilizada pelo usuário (e somente por ele) uma única vez. Nesse caso, o atacante pode reutilizar a assinatura de um usuário privilegiado e cunhar tokens para si mesmo.

Podemos observar que na função verify, não há o endereço do remetente na assinatura. Além disso, não existe nenhum mecanismo para incluir um nonce que garanta que a assinatura só possa ser utilizada uma única vez. Esses requisitos de segurança são conhecimentos básicos em qualquer curso de segurança de software.

Ficamos surpresos com o fato de uma vulnerabilidade como essa poder existir em um projeto de NFT tão popular. Toda a comunidade precisa prestar mais atenção à segurança dos contratos.

Sobre a BlockSec

A BlockSec é uma empresa pioneira em segurança de blockchain, fundada em 2021 por um grupo de especialistas em segurança de reconhecimento mundial. A empresa está comprometida em aprimorar a segurança e a usabilidade para o emergente mundo Web3, a fim de facilitar sua adoção em massa. Para isso, a BlockSec oferece serviços de auditoria de segurança de contratos inteligentes e chains EVM, a plataforma Phalcon para desenvolvimento seguro e bloqueio proativo de ameaças, a plataforma MetaSleuth para rastreamento e investigação de fundos, e a extensão MetaSuites para construtores web3 que navegam com eficiência no mundo cripto.

Até o momento, a empresa atendeu mais de 300 clientes renomados, como MetaMask, Uniswap Foundation, Compound, Forta e PancakeSwap, e recebeu dezenas de milhões de dólares americanos em duas rodadas de financiamento de investidores proeminentes, incluindo Matrix Partners, Vitalbridge Capital e Fenbushi Capital.

Site oficial: https://blocksec.com/

Conta oficial no Twitter: https://twitter.com/BlockSecTeam

Sign up for the latest updates
~$5,98M Perdidos: Aztec, Raydium e Mais | BlockSec Semanal
Security Insights

~$5,98M Perdidos: Aztec, Raydium e Mais | BlockSec Semanal

Relatório semanal de segurança blockchain (8-15 jun/2026): 4 incidentes no Ethereum e Solana, perdas de ~$5,98M. Destaques: Aztec Connect (validação ausente causou estados inconsistentes) e Raydium (falha no AMM v3 permitiu manipulação de LP tokens). Tipos: falta de validação, overflow e captura de governança.

Análise de Bug de Solidez do Zcash Orchard | BlockSec Semanal
Security Insights

Análise de Bug de Solidez do Zcash Orchard | BlockSec Semanal

Vulnerabilidade crítica no circuito Orchard do Zcash foi divulgada em junho de 2026: restrição ausente no gadget de multiplicação escalar halo2 permitia falsificação indetectável de ZEC. Existia há 4 anos, descoberta por IA (Opus 4.8) e corrigida via atualização emergencial NU6.2.

Boletim Informativo - Maio de 2026
Security Insights

Boletim Informativo - Maio de 2026

Em maio de 2026, o ecossistema DeFi sofreu três incidentes: Echo Protocol perdeu ~$76,7M por comprometimento de chave admin; StablR perdeu ~$12,8M por falha em multisig; a Bridge Verus-Ethereum perdeu ~$11,7M por falha de validação de tipo.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit