bitcoin
Bitcoin (BTC) $ 19,264.26 0.50%
ethereum
Ethereum (ETH) $ 1,306.79 0.72%
cardano
Cardano (ADA) $ 0.42334 0.22%
tether
Tether (USDT) $ 0.999666 0.05%
xrp
XRP (XRP) $ 0.450524 1.99%
solana
Solana (SOL) $ 32.78 0.79%
polkadot
Polkadot (DOT) $ 6.31 1.40%
dogecoin
Dogecoin (DOGE) $ 0.059961 0.15%
usd-coin
USD Coin (USDC) $ 0.998247 0.11%
avalanche-2
Avalanche (AVAX) $ 16.89 0.61%
terra-luna
Terra Luna Classic (LUNC) $ 0.000326 1.45%
binance-usd
Binance USD (BUSD) $ 1.00 0.26%
cosmos
Cosmos Hub (ATOM) $ 12.51 0.16%
chainlink
Chainlink (LINK) $ 7.22 1.77%
uniswap
Uniswap (UNI) $ 6.52 4.31%
algorand
Algorand (ALGO) $ 0.351341 2.64%
litecoin
Litecoin (LTC) $ 53.35 1.38%
bitcoin-cash
Bitcoin Cash (BCH) $ 115.50 0.04%
wrapped-bitcoin
Wrapped Bitcoin (WBTC) $ 19,241.36 0.28%
internet-computer
Internet Computer (ICP) $ 6.00 0.27%
filecoin
Filecoin (FIL) $ 5.50 0.84%
matic-network
Polygon (MATIC) $ 0.77788 0.95%
stellar
Stellar (XLM) $ 0.1155 4.36%
tron
TRON (TRX) $ 0.061104 0.61%
ftx-token
FTX (FTT) $ 24.16 0.14%
vechain
VeChain (VET) $ 0.02308 0.91%
ethereum-classic
Ethereum Classic (ETC) $ 27.28 0.57%
dai
Dai (DAI) $ 0.999361 0.06%
compound-ether
cETH (CETH) $ 26.22 0.61%
tezos
Tezos (XTZ) $ 1.44 3.03%
theta-token
Theta Network (THETA) $ 1.05 0.38%
elrond-erd-2
Elrond (EGLD) $ 50.54 6.44%
monero
Monero (XMR) $ 139.88 0.18%
okb
OKB (OKB) $ 15.41 1.89%
compound-usd-coin
cUSDC (CUSDC) $ 0.022683 0.15%
pancakeswap-token
PancakeSwap (CAKE) $ 4.55 1.67%
quant-network
Quant (QNT) $ 135.86 0.49%
ecash
eCash (XEC) $ 0.000041 0.09%
crypto-com-chain
Cronos (CRO) $ 0.108512 1.75%
near
NEAR Protocol (NEAR) $ 3.48 1.34%
eos
EOS (EOS) $ 1.18 0.35%
cdai
cDAI (CDAI) $ 0.022115 0.19%
axie-infinity
Axie Infinity (AXS) $ 12.41 0.65%
staked-ether
Lido Staked Ether (STETH) $ 1,295.58 0.03%
aave
Aave (AAVE) $ 75.15 2.08%
hedera-hashgraph
Hedera (HBAR) $ 0.057262 0.70%
iota
IOTA (MIOTA) $ 0.276729 1.26%
shiba-inu
Shiba Inu (SHIB) $ 0.000011 1.14%
the-graph
The Graph (GRT) $ 0.096907 0.25%
kusama
Kusama (KSM) $ 41.70 0.32%
fantom
Fantom (FTM) $ 0.22151 0.09%
neo
NEO (NEO) $ 8.59 0.27%
klay-token
Klaytn (KLAY) $ 0.187349 1.59%
leo-token
LEO Token (LEO) $ 4.13 1.07%
bitcoin-sv
Bitcoin SV (BSV) $ 48.15 0.16%
terrausd
TerraClassicUSD (USTC) $ 0.031199 1.69%
waves
Waves (WAVES) $ 3.75 0.07%
arweave
Arweave (AR) $ 9.36 0.78%
amp-token
Amp (AMP) $ 0.004863 0.01%
celo
Celo (CELO) $ 0.768813 0.83%
thorchain
THORChain (RUNE) $ 1.54 1.28%
maker
Maker (MKR) $ 792.87 4.59%
celsius-degree-token
Celsius Network (CEL) $ 1.31 3.79%
sushi
Sushi (SUSHI) $ 1.07 2.15%
compound-governance-token
Compound (COMP) $ 59.93 0.86%
havven
Synthetix Network (SNX) $ 2.27 0.20%
huobi-token
Huobi (HT) $ 4.00 7.69%
dash
Dash (DASH) $ 40.76 0.20%
huobi-btc
Huobi BTC (HBTC) $ 19,482.83 0.10%
helium
Helium (HNT) $ 4.92 1.00%
harmony
Harmony (ONE) $ 0.019432 0.62%
decred
Decred (DCR) $ 25.80 1.05%
holotoken
Holo (HOT) $ 0.002009 0.13%
chiliz
Chiliz (CHZ) $ 0.218447 3.57%
theta-fuel
Theta Fuel (TFUEL) $ 0.050923 1.69%
xdce-crowd-sale
XDC Network (XDC) $ 0.030579 2.49%
iostoken
IOST (IOST) $ 0.01169 0.53%
nem
NEM (XEM) $ 0.041654 4.16%
true-usd
TrueUSD (TUSD) $ 0.998456 0.17%
blockstack
Stacks (STX) $ 0.318338 0.09%
zcash
Zcash (ZEC) $ 55.36 1.48%
enjincoin
Enjin Coin (ENJ) $ 0.447735 0.57%
omisego
OMG Network (OMG) $ 1.68 0.03%

NBA 球員卡 NFT 合約漏洞百出!沒有白名單也可免費鑄造

by Christy Chan —— 2022-04-21
17 share / 2.8k views

_________________________________________________________________________________________

NBA 推出的動態 NFT「THE ASSOCIATION」於昨日凌晨正式開放鑄造,許多早期進入 Discord 的支持者皆能獲得白名單資格。然而,卻因為智能合約漏洞,導致許多沒有白名單的用戶也能夠大量鑄造,使部分符合資格的用戶損失權益。

 

THE ASSOCIATION NFT 合約漏洞

Source: Twitter @cygaar_dev

根據 Azuki 開發人員 cygaar 的說法,若想利用其合約漏洞,只需將此數據發送到尚未鑄造過的錢包上的合約地址。無需擁有白名單資格也可以進行此操作。

 

將這段數據反編譯後,你會看到它調用的函數是 mint_approved,仔細觀察 info 中的參數會發現這段程式碼主要是用來判斷交易是否由鑄造網站簽名,以及用戶是否在白名單內。然而,它少了一個關鍵部分,他沒有去檢查 info.from == msg.sender.

這意味者同樣的簽名能被任何人重複利用,只需一個有效的簽名便可無限循環。雖然一個錢包僅能鑄造一次,但要創建一個新錢包不過就是幾秒鐘的事情而已。

此外,cygaar 提出了一個更大的疏失。合約並沒有檢查交易是否來自用戶。若能多添加一行:require(tx.origin == msg.sender, ‘Caller not user’),即可降低合約被濫用的風險。

上述漏洞被發現後,被許多有心人士利用,導致 NFT 在短時間內被鑄造完畢,甚至導致有白名單的用戶無法鑄造。

Cygaar 表示:「合約看起來非常草率,隨意的註解、大小寫不一致、許多未使用的變數,且沒有進行優化」。

為了使智能合約更加安全完善,Cygaar 給了幾點建議:

  • 妥善地進行簽名驗證,確保簽名來自訊息發送方
  • 對合約多用點心,別再只是到處複製貼上
  • 聘請審計員,任何合格的審計員皆能在短時間內發現這些漏洞

 

官方致歉

Source: Twitter @NBAxNFT

在事情發生後,NBAxNFT 立即於其 Twitter 表達歉意,他們當前正在確認因漏洞導致無法鑄造的白名單錢包。若有問題可於其 Discord 反應。

利好 11
利空 0

發佈回覆

你的電郵地址並不會被公開。