Công ty bảo mật blockchain BlockSec thông báo vào hôm 21/4 rằng bộ sưu tập Association có một lỗ hổng bảo mật nghiêm trọng và những kẻ xấu đã lợi dụng lỗ hổng này để mint NFT mà không mất token. Đây là bộ sưu tập NFT mới trên blockchain Ethereum được tạo ra dựa trên vòng loại trực tiếp của giải bóng rổ nhà nghề của Mỹ (NBA), bắt đầu được mint từ hôm 20/4. Các NFT này bao gồm các cầu thủ nổi tiếng từ 16 đội và sẽ được thay đổi về hình thức tùy thuộc vào màn trình diễn của mỗi cầu thủ trong vòng loại trực tiếp.
Trang Twitter chính thức của NBA cũng đã tweet rằng tổ chức này đã tạm dừng quá trình mint và gắn cờ cho whitelist, điều này khiến bộ sưu tập bị bán hết sớm.
Nguồn Twitter
Lỗi xác minh chữ ký
Blocksec cho biết hợp đồng NFT không xác minh được rằng chữ kí chỉ có thể sử dụng một lần, bởi một người duy nhất. Do người dùng bị theo dõi, những kẻ xấu đã sử dụng chữ ký của nạn nhân để mint token cho chúng.
Công ty này cũng cho biết hợp đồng không bao gồm bất kỳ cơ chế nào để đảm bảo việc chỉ chấp nhận một chữ ký được ủy quyền duy nhất, đồng thời cho dây là yêu cầu bảo mật tối thiểu mà một hệ thống phải có.
Chúng tôi ngạc nhiên rằng làm thế nào mà một lỗ hổng bảo mật như vậy lại có thể tồn tại trong một dự án NFT lớn như NBA
Được biết, bộ sưu tập Association được mint dưới hình thức kín, có nghĩa là không ai biết họ sẽ mint cầu thủ nào cho đến khi nhận được kết quả vào thứ Sáu. Có 180.000 token và trong đó gần 16.000 được mint.
NBA không xa lạ gì với NFT
Bộ sưu tập mới khác xa so với bước đột phá đầu tiên của NBA vào NFT. Liên đoàn bóng rổ đã liên kết với ông lớn của NFT là Dapper Labs để mở NFT marketplace của riêng mình, được gọi là NBA Top Shot. Tổng doanh thu từ bộ sưu tập Top Shot là gần 1 tỷ USD, theo dữ liệu từ Crypto Slam.
Theo Coingape