The Association NFT 是 NBA 推出的 NFT。然而,我們發現該 NFT 銷售合約存在嚴重的漏洞,允許攻擊者在不支付任何代幣的情況下鑄造大量 NFT。
此漏洞的根本原因是簽名驗證使用不當。基本上,該合約未能確保簽名只能由使用者(且僅該使用者)使用一次。在這種情況下,攻擊者可以重複使用特權使用者的簽名,並將代幣鑄造給自己。
我們可以看到,在 verify 函式中,簽名中沒有包含發送者的地址。此外,也沒有包含 nonce(隨機數)的機制來確保簽名只能使用一次。這些安全要求是軟體安全課程中的基礎知識。
令我們驚訝的是,這種漏洞竟然會存在於一個熱門的 NFT 專案中。整個社群需要更加重視合約的安全性。
關於 BlockSec
BlockSec 是一家開創性的區塊鏈安全公司,由一群全球傑出的安全專家於 2021 年成立。該公司致力於提升新興 Web3 世界的安全性和可用性,以促進其大規模採用。為此,BlockSec 提供智慧合約與 EVM 鏈的安全審計服務、用於安全開發與主動威脅阻斷的 Phalcon 平台、用於資金追蹤與調查的 MetaSleuth 平台,以及協助 Web3 開發者在加密世界中高效運作的 MetaSuites 擴充功能。
迄今為止,該公司已服務超過 300 家知名客戶,如 MetaMask、Uniswap Foundation、Compound、Forta 和 PancakeSwap,並從包括經緯創投 (Matrix Partners)、高榕資本 (Vitalbridge Capital) 和分佈式資本 (Fenbushi Capital) 在內的知名投資者手中,獲得了數千萬美元的兩輪融資。
官方 Twitter 帳號:https://twitter.com/BlockSecTeam
