The Association NFT — это NFT-проект, запущенный NBA. Однако мы обнаружили, что смарт-контракт продажи этих NFT содержит серьезную уязвимость, которая позволяет злоумышленнику выпустить (минтить) большое количество NFT, не оплачивая их токенами.
Первопричиной уязвимости является некорректное использование проверки подписи. По сути, контракт не гарантирует, что подпись может быть использована только пользователем (и исключительно им самим) и только один раз. В данном случае злоумышленник может повторно использовать подпись привилегированного пользователя и выпустить токены на свой собственный адрес.
Мы видим, что в функции verify в подписи отсутствует адрес отправителя. Кроме того, нет механизма включения одноразового номера (nonce), чтобы гарантировать, что подпись может быть использована только один раз. Эти требования безопасности являются базовыми знаниями курса по программной безопасности.
Мы удивлены тем, как подобная уязвимость могла существовать в популярном NFT-проекте. Всему сообществу необходимо уделять больше внимания безопасности смарт-контрактов.
О компании BlockSec
BlockSec — это передовая компания в области блокчейн-безопасности, основанная в 2021 году группой всемирно известных экспертов по безопасности. Компания стремится повысить уровень безопасности и удобства использования для развивающегося мира Web3, чтобы способствовать его массовому внедрению. Для этого BlockSec предоставляет услуги по аудиту безопасности смарт-контрактов и EVM-сетей, платформу Phalcon для разработки в области безопасности и проактивного предотвращения угроз, платформу MetaSleuth для отслеживания и расследования движения средств, а также расширение MetaSuites для эффективной работы разработчиков Web3 в криптомире.
На сегодняшний день компания обслужила более 300 уважаемых клиентов, таких как MetaMask, Uniswap Foundation, Compound, Forta и PancakeSwap, и привлекла десятки миллионов долларов США в ходе двух раундов финансирования от выдающихся инвесторов, включая Matrix Partners, Vitalbridge Capital и Fenbushi Capital.
Официальный сайт: https://blocksec.com/
Официальный аккаунт в Twitter: https://twitter.com/BlockSecTeam
