NBA 球員卡 NFT 合約漏洞百出！沒有白名單也可免費鑄造

by Christy Chan —— 2022-04-21
17 share / 2.8k views

_________________________________________________________________________________________

NBA 推出的動態 NFT「THE ASSOCIATION」於昨日凌晨正式開放鑄造，許多早期進入 Discord 的支持者皆能獲得白名單資格。然而，卻因為智能合約漏洞，導致許多沒有白名單的用戶也能夠大量鑄造，使部分符合資格的用戶損失權益。

THE ASSOCIATION NFT 合約漏洞

Source: Twitter @cygaar_dev

根據 Azuki 開發人員 cygaar 的說法，若想利用其合約漏洞，只需將此數據發送到尚未鑄造過的錢包上的合約地址。無需擁有白名單資格也可以進行此操作。

將這段數據反編譯後，你會看到它調用的函數是 mint_approved，仔細觀察 info 中的參數會發現這段程式碼主要是用來判斷交易是否由鑄造網站簽名，以及用戶是否在白名單內。然而，它少了一個關鍵部分，他沒有去檢查 info.from == msg.sender.

這意味者同樣的簽名能被任何人重複利用，只需一個有效的簽名便可無限循環。雖然一個錢包僅能鑄造一次，但要創建一個新錢包不過就是幾秒鐘的事情而已。

此外，cygaar 提出了一個更大的疏失。合約並沒有檢查交易是否來自用戶。若能多添加一行：require(tx.origin == msg.sender, ‘Caller not user’)，即可降低合約被濫用的風險。

上述漏洞被發現後，被許多有心人士利用，導致 NFT 在短時間內被鑄造完畢，甚至導致有白名單的用戶無法鑄造。

Cygaar 表示：「合約看起來非常草率，隨意的註解、大小寫不一致、許多未使用的變數，且沒有進行優化」。

為了使智能合約更加安全完善，Cygaar 給了幾點建議：

官方致歉

Source: Twitter @NBAxNFT

在事情發生後，NBAxNFT 立即於其 Twitter 表達歉意，他們當前正在確認因漏洞導致無法鑄造的白名單錢包。若有問題可於其 Discord 反應。

ダッチワイフ says:
you are truly a excellent webmaster. The website loading pace is amazing. It seems that you’re doing any distinctive trick. Also, The contents are masterwork. you’ve performed a wonderful activity in this matter! ラブドール

2023-03-26 at 上午 9:03
回覆
plage des salines martinique says:
I would like to thank you for the efforts you’ve put in writing this website. I am hoping the same high-grade site post from you in the upcoming as well. In fact your creative writing abilities has encouraged me to get my own website now. Really the blogging is spreading its wings quickly. Your write up is a good example of it.

2023-03-27 at 下午 2:30
回覆
Ikaria Juice says:
Thanks a lot for sharing this with all of us you really know what you are talking about! Bookmarked. Please also visit my site =). We could have a link exchange contract between us!

2023-03-28 at 上午 5:10
回覆