BlockSec обнаружил серьезную уязвимость в последней коллекции NFT NBA, которая позволяет злоумышленникам чеканить большое количество NFT без оплаты каких-либо токенов.
Национальная баскетбольная ассоциация (NBA) сообщила о приостановке чеканки своей новой коллекции невзаимозаменяемых токенов, получившей название The Association, после того, как BlockSec обнаружила серьезную лазейку. Менее чем через день после того, как лига объявила о выпуске своего невзаимозаменяемого токена (NFT) на основе Ethereum, она признала проблемы со смарт-контрактом, которые привели к преждевременной распродаже предложения «списка разрешенных».
Недостаток
Блокчейн компания BlockSec, занимающаяся безопасностью, обнаружила серьезную уязвимость, которая могла позволить злоумышленнику создать большое количество NFT без оплаты каких-либо токенов. Согласно официальному сообщению в блоге , компания заявила, что основной причиной уязвимости является неправильное использование проверки подписи.
По сути, это означает, что контракт не гарантирует, что подпись может быть использована пользователем только один раз. Уязвимость также позволяла злоумышленнику повторно использовать подпись привилегированного пользователя и чеканить токены для себя.
«Мы удивлены тем, как такая уязвимость может существовать в популярном проекте NFT. Все сообщество должно уделять больше внимания безопасности контракта» — заявила компания.
Сообщается, что злоумышленнику удалось создать 100 NFT и продать их на торговой площадке OpenSea. Последняя разработка еще раз показывает необходимость оценки безопасности смарт-контракта.
«Что еще более забавно в этом NBA Associated NFT, так это то, что он называется V2 в OpenSea. Это означает, что они создали контракт, нашли ошибку, а затем выпустили вторую версию с самым простым возможным эксплойтом. Тот, кто в NBA причастен к этому, должен быть уволен» — сообщил пользователь твиттера.
Коллекция NFT
NFT впервые объявила о запуске своего проекта Web 3 — «The Association», который включает 18 000 невзаимозаменяемых токенов, представляющих всех 240 назначенных игроков НБА в плей-офф этого года. Кроме того, 75 NFT распределяются случайным образом с использованием Chainlink VRF для каждого игрока из 16 участвующих команд.
Использование оракулов Chainlink позволит автоматически изменять внешний вид NFT каждого игрока. Внешний вид динамических NFT будет меняться в зависимости от результатов игроков. Короче говоря, больше достижений во время плей-офф NBA 2022 года означает, что игроки увидят больше визуальных изменений в своих цифровых предметах коллекционирования на протяжении всего постсезонного турнира.
