Back to Blog

Как неправильно проверять подпись — на примере AssociationNFT

Code Auditing
April 21, 2022
2 min read
Image: Raymond Clarke/Flickr
Image: Raymond Clarke/Flickr

The Association NFT — это NFT-проект, запущенный NBA. Однако мы обнаружили, что смарт-контракт продажи этих NFT содержит серьезную уязвимость, которая позволяет злоумышленнику выпустить (минтить) большое количество NFT, не оплачивая их токенами.

Первопричиной уязвимости является некорректное использование проверки подписи. По сути, контракт не гарантирует, что подпись может быть использована только пользователем (и исключительно им самим) и только один раз. В данном случае злоумышленник может повторно использовать подпись привилегированного пользователя и выпустить токены на свой собственный адрес.

Мы видим, что в функции verify в подписи отсутствует адрес отправителя. Кроме того, нет механизма включения одноразового номера (nonce), чтобы гарантировать, что подпись может быть использована только один раз. Эти требования безопасности являются базовыми знаниями курса по программной безопасности.

Мы удивлены тем, как подобная уязвимость могла существовать в популярном NFT-проекте. Всему сообществу необходимо уделять больше внимания безопасности смарт-контрактов.

О компании BlockSec

BlockSec — это передовая компания в области блокчейн-безопасности, основанная в 2021 году группой всемирно известных экспертов по безопасности. Компания стремится повысить уровень безопасности и удобства использования для развивающегося мира Web3, чтобы способствовать его массовому внедрению. Для этого BlockSec предоставляет услуги по аудиту безопасности смарт-контрактов и EVM-сетей, платформу Phalcon для разработки в области безопасности и проактивного предотвращения угроз, платформу MetaSleuth для отслеживания и расследования движения средств, а также расширение MetaSuites для эффективной работы разработчиков Web3 в криптомире.

На сегодняшний день компания обслужила более 300 уважаемых клиентов, таких как MetaMask, Uniswap Foundation, Compound, Forta и PancakeSwap, и привлекла десятки миллионов долларов США в ходе двух раундов финансирования от выдающихся инвесторов, включая Matrix Partners, Vitalbridge Capital и Fenbushi Capital.

Официальный сайт: https://blocksec.com/

Официальный аккаунт в Twitter: https://twitter.com/BlockSecTeam

Sign up for the latest updates
Информационный бюллетень — июнь 2026 г.
Security Insights

Информационный бюллетень — июнь 2026 г.

Отчёт за июнь 2026: три крупнейших инцидента с общими потерями ~$22M. Honeypot атака опустошила MEV-бот на ~$15M. Уязвимости Aztec rollup привели к потере ~$4.35M. Ошибка Ed25519 в SecondFi раскрыла ключи 374 кошельков (~$2.4M).

~$4M потеряно: эксплойты Taiko и SecondFi | Еженедельник BlockSec
Security Insights

~$4M потеряно: эксплойты Taiko и SecondFi | Еженедельник BlockSec

Отчёт за 22–28 июня 2026: два инцидента, ~$4,1М потерь. Эксплойт Taiko: утечка ключа SGX + неполная политика аттестации → подделка L2-доказательств. SecondFi: уязвимость Ed25519 (нонс без секрета) → восстановление приватных ключей Cardano.

~$18 млн потеряно: jaredFromSubway, Aztec и другие | Еженедельник BlockSec
Security Insights

~$18 млн потеряно: jaredFromSubway, Aztec и другие | Еженедельник BlockSec

Еженедельный отчёт о безопасности блокчейна (15–21 июня 2026): 3 инцидента в Ethereum и BNB Chain, ~$18,3M потерь. Атака на MEV-бот jaredFromSubway (~$15M): бот одобрял свои активы недоверенным контрактам. Злоумышленник создал фиктивные токены и пулы. Также: эксплойт Aztec — отсутствие ограничения равенства в ZK-схеме.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit