Sulmuesi shfrytëzoi boshllëkun dhe krijoi 100 Shoqata NFT.
Më pak se 24 orë pasi Shoqata Kombëtare e Basketbollit (NBA) njoftoi prodhimin e tokenit të saj jo të këmbyeshëm (NFT) të bazuar në Ethereum, një boshllëk i madh është zbuluar në kontratën e koleksionit dixhital të Shoqatës.
Cfare ndodhi
Sipas BlockSec, një firmë që kryen auditime të kontratave inteligjente për monedhat dixhitale, Shoqata NFT ka një boshllëk që lejon një përdorues që nuk është në listën e bardhë të krijojë koleksionin dixhital duke kopjuar nënshkrimin e investitorëve të cilëve u është dhënë aksesi i hershëm në asete.
BlockSec vuri në dukje se Shoqata NBA NFT nuk konfirmoi konsistencën e nënshkrimeve në listën e bardhë dhe adresës së dërguesit, një defekt që u jep përdoruesve të paautorizuar akses për të prerë tokenat e pandryshueshëm në fillimin e tij të hershëm.
"La ShoqataNFT kontrata ka një cenueshmëri. Funksioni i verifikimit nuk:
1) të ketë një nonce në mënyrë që të mund të përdoret vetëm një herë
2) lidhni dërguesin e mesazheve me nënshkruesin,” BlockSec tweeted Më herët sot.
La #ShoqataNFT kontrata ka një cenueshmëri. Funksioni i verifikimit nuk funksionon
1) të ketë një nonce në mënyrë që të mund të përdoret vetëm një herë
2) lidhni dërguesin e mesazheve me nënshkruesin@NBAxNFT
@defiprime pic.twitter.com/NsCsBFo2Yo— BlockSec (@BlockSecTeam) Prill 21, 2022
Pas boshllëkut të madh të sigurisë nga zhvilluesit e Shoqatës NFT, një sulmues ka përfituar nga gabimi për të krijuar 100 njësi të koleksionit dixhital.
Momente pasi sulmuesi preu NFT-të e Shoqatës, përdoruesi vazhdoi t'i shiste ato në tregun e njohur të tokenave të pandryshueshme OpenSea.
Sulmi transaksion u zhvillua disa orë pasi NBA njoftoi ngjarjen e prodhimit të NFT-ve të saj dhe përdoruesi pagoi një tarifë prej 2.72 ETH me vlerë rreth 8,421 dollarë në kohën e shkrimit.
Vlen të përmendet se zhvillimi i fundit është një nga arsyet që zhvilluesit e sigurisë këshillohen të kryejnë auditime adekuate sigurie të kontratave të projekteve të tyre për të zbuluar të gjitha zbrazëtirat dhe për të shmangur incidentet fatkeqe.
NBA dha përgjigjen e tyre:
“Ne i njohim problemet me kontratën inteligjente që shkaktoi shitjen e parakohshme të furnizimit me Listën e Lejimit. Kërkojmë ndjesë për këtë situatë dhe aktualisht po identifikojmë kuletat e Listës së Lejimeve që nuk mund të krijoheshin si rezultat.”
Ne i njohim problemet me kontratën inteligjente që shkaktuan shitjen e parakohshme të furnizimit me Listën e Lejimit. Kërkojmë ndjesë për këtë situatë dhe aktualisht po identifikojmë kuletat e Listës së Lejimeve që nuk mund të krijoheshin si rezultat.
— NBAxNFT (@NBAxNFT) Prill 20, 2022
NBA lëshon NFT-të e Shoqatës
Ndërkohë, skuadra e NBA-së u largua ushtrimi i prerjes së Shoqatës së saj NFT, duke u dhënë përdoruesve të listës së bardhë mundësinë për të krijuar pjesë të 18,000 aseteve.
Sipas shoqatës së basketbollit, një njësi e NFT përfaqëson një lojtar të vërtetë NBA i paraqitur në playoff-et e këtij sezoni.
Siç theksohet në faqen e internetit të Shoqatës, tifozët e NBA nuk do të paguajnë shumë për blerjen e NFT, pasi prerja do të jetë falas. Sidoqoftë, përdoruesit do të duhet të paguajnë për kostot e gazit, të cilat mund të rriten deri në 1 ETH (3,077 dollarë).
- Shpallje -
Source: https://thecryptobasic.com/2022/04/21/loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts/?utm_source=rss&utm_medium=rss&utm_campaign=loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts