Manteisiodd yr ymosodwr ar y bwlch a bathu 100 o NFTs y Gymdeithas.
Lai na 24 awr ar ôl i'r Gymdeithas Bêl-fasged Genedlaethol (NBA) gyhoeddi ei bod yn bathu ei thocyn anffyngadwy yn seiliedig ar Ethereum (NFT), mae bwlch mawr wedi'i ddarganfod yng nghontract casgladwy digidol y Gymdeithas.
Beth ddigwyddodd
Yn ôl BlockSec, cwmni sy'n cynnal archwiliadau contract smart ar gyfer arian digidol, mae gan y Gymdeithas NFT fwlch sy'n caniatáu i ddefnyddiwr nad yw ar y rhestr wen bathu'r casgladwy digidol trwy gopïo llofnod buddsoddwyr sy'n cael mynediad cynnar i'r asedau.
Nododd BlockSec hynny Cymdeithas NFT yr NBA Ni chadarnhaodd gysondeb y llofnodion ar y rhestr wen a chyfeiriad yr anfonwyr, gwall sy'n caniatáu mynediad i ddefnyddwyr anawdurdodedig i fathdy'r tocynnau anffyngadwy yn ei lansiad cynnar.
"Mae adroddiadau CymdeithasNFT mae'r contract yn agored i niwed. Nid yw'r swyddogaeth ddilysu yn:
1) cael nonce fel mai dim ond unwaith y gellir ei ddefnyddio
2) rhwymwch yr anfonwr msg gyda'r arwyddwr, ” BlockSec tweetio yn gynharach heddiw.
Mae adroddiadau #CymdeithasNFT mae'r contract yn agored i niwed. Nid yw'r swyddogaeth wirio yn gwneud hynny
1) cael nonce fel y gellir ei ddefnyddio unwaith yn unig
2) rhwymwch yr anfonwr msg gyda'r arwyddwr@NBaxNFT
@defiprime pic.twitter.com/NsCsBFo2Yo- BlockSec (@BlockSecTeam) Ebrill 21, 2022
Yn dilyn y bwlch diogelwch mawr gan ddatblygwyr NFT y Gymdeithas, mae ymosodwr wedi manteisio ar y gwall i bathu 100 uned o'r casgladwy digidol.
Eiliadau ar ôl i'r ymosodwr bathu NFTs y Gymdeithas, aeth y defnyddiwr ymlaen i'w gwerthu ar y farchnad docynnau anffyddadwy boblogaidd OpenSea.
Yr ymosodiad trafodiad Digwyddodd hyn oriau ar ôl i NBA dynnu sylw at ddigwyddiad mintio ei NFTs, a thalodd y defnyddiwr ffi o 2.72 ETH gwerth tua $8,421 ar adeg ysgrifennu'r adroddiad hwn.
Mae'n werth nodi mai'r datblygiad diweddar yw un o'r rhesymau pam y cynghorir datblygwyr diogelwch i gynnal archwiliadau diogelwch digonol o gontractau eu prosiectau i ddatrys pob bwlch ac osgoi digwyddiadau anffodus.
Rhoddodd yr NBA eu hymateb:
“Rydym yn cydnabod y problemau gyda’r contract clyfar a achosodd i gyflenwad y Rhestr Ganiatáu werthu allan yn gynamserol. Ymddiheurwn am y sefyllfa hon ac ar hyn o bryd rydym yn nodi’r waledi Rhestr Caniatáu nad oedd yn bosibl eu bathu o ganlyniad.”
Rydym yn cydnabod y problemau gyda’r contract clyfar a achosodd i gyflenwad y Rhestr Ganiatáu werthu allan yn gynamserol. Ymddiheurwn am y sefyllfa hon ac ar hyn o bryd rydym yn nodi'r waledi Rhestr Caniatáu nad oedd yn bosibl eu bathu o ganlyniad.
— NBAxNFT (@NBAxNFT) Ebrill 20, 2022
NBA yn Lansio NFTs Cymdeithas
Yn y cyfamser, mae'r tîm NBA tynnu sylw oddi ar ymarfer bathu ei Gymdeithas NFT, gan roi cyfle i ddefnyddwyr ar y rhestr wen bathu rhannau o'r 18,000 o asedau.
Yn ôl y gymdeithas pêl-fasged, mae uned o'r NFT yn cynrychioli chwaraewr NBA go iawn sy'n ymddangos yn playoffs y tymor hwn.
Fel y nodwyd ar wefan y Gymdeithas, ni fydd cefnogwyr NBA yn talu llawer wrth gaffael yr NFT, gan y bydd mintio am ddim. Fodd bynnag, bydd yn rhaid i ddefnyddwyr dalu am gostau nwy, a allai esgyn mor uchel ag 1 ETH ($ 3,077).
- Hysbyseb -
Source: https://thecryptobasic.com/2022/04/21/loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts/?utm_source=rss&utm_medium=rss&utm_campaign=loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts