NBAが脆弱性を理由にNFT柵瀬を一時停止
ブロックチェーンセキュリティを手掛けるBlockSecは、攻撃者がトークンを支払うことなく多数のNFT(非代替性トークン)を作成できる、NBA(National Basketball Association=北米男子プロバスケットボールリーグ)の最新のNFTコレクションに深刻な脆弱性を特定していることを明らかにした。
NBAは、BlockSecによって大きな抜け穴が検出された後、新NFTコレクションの作成を一時停止することを明らかにした。リーグがイーサリアムベースNFT作成を発表してから1日も経たないうちに、「許可リスト」の供給が時期尚早に売り切れた原因となったスマートコントラクトの問題を認識した事が一時停止の原因とのこと。
深刻な脆弱性とは
ブロックチェーンセキュリティ会社のBlockSecは、悪意のあるエンティティがトークンを支払うことなく多数のNFTを作成する可能性のある深刻な脆弱性を特定したことを明らかにした。
公式ブログの投稿によると、この欠陥の背後にある主な理由は、署名検証の誤った使用にあると同社は述べている。これは、契約が署名をユーザー(およびユーザーのみ)が1回だけ使用できることを保証できないことを意味しており、この脆弱性により、攻撃者は特権ユーザーの署名とミントトークンを自分自身に再利用することもできたとのことで、同社は次のように述べている。
人気のあるNFTプロジェクトにこのような脆弱性が存在する可能性があることに驚いています。コミュニティ全体が契約のセキュリティにもっと注意を払う必要があります。
伝えられるところによると、攻撃者は100個のNFTを作成し、OpenSeaマーケットプレイスで販売。最新開発では、スマートコントラクトのセキュリティを評価する必要性が再び示されているとしてあるTwitterユーザーは次のように語っている。
What's even more hilarious about this NBA Associated NFT is it's called V2 on OpenSea.
Which means they created a contract, found an error and then released V2 with still the most basic exploit possible in it.
Whoever at the NBA choose this partnership needs to be fired.
— GRΞG | gparadee.eth (@gregparadee) April 20, 2022
このNBA関連NFTでさらに陽気なのは、OpenSeaではV2と呼ばれていることです。つまり、彼らは契約を作成し、エラーを見つけてから、可能な限り最も基本的なエクスプロイトを使用してV2をリリースしました。NBAでこのパートナーシップを選択した人は誰でも解雇される必要があります。
NBAは、2022年のプレーオフで割り当てられた240人のNBAプレーヤー全員を表す18,000のNFTを含む、Web3プロジェクト「TheAssociation」の立ち上げを発表。さらに、75のNFTは、Chainlink VRFを使用して、16の参加チームの各プレーヤーにランダムに割り当てられるとのこと。
