တိုက်ခိုက်သူသည် ကွက်လပ်ကို အသုံးချကာ အသင်းအဖွဲ့ NFTs 100 ကို အသုံးချခဲ့သည်။
အမျိုးသားဘတ်စကက်ဘောအသင်း (NBA) မှ ၎င်း၏ Ethereum-based non-fungible တိုကင် (NFT) ကို တူးဖော်ခြင်းအား ကြေညာပြီးနောက် 24 နာရီမပြည့်မီတွင်၊ အသင်းဒစ်ဂျစ်တယ်စုဆောင်းသူ၏ စာချုပ်တွင် အဓိက ကွက်လပ်တစ်ခုကို ရှာဖွေတွေ့ရှိခဲ့သည်။
ဘာဖြစ်သွားတာလဲ
BlockSec အရ ဒစ်ဂျစ်တယ်ငွေကြေးများအတွက် စမတ်ကျသော စာချုပ်စာတမ်းစစ်ဆေးမှုများကို လုပ်ဆောင်သည့် ကုမ္ပဏီတစ်ခုဖြစ်သည့် Association NFT တွင် ပိုင်ဆိုင်မှုများကို အစောပိုင်းဝင်ရောက်ခွင့်ရရှိထားသည့် ရင်းနှီးမြှုပ်နှံသူများ၏ လက်မှတ်ကို ကူးယူခြင်းဖြင့် အစုလိုက်အပြုံလိုက်ခွင့်ပြုထားသော စာရင်းသွင်းမဟုတ်သော အသုံးပြုသူတစ်ဦးအား ဒစ်ဂျစ်တယ်စုဆောင်းနိုင်သည့်အရာများကို ကူးယူခွင့်ပြုသည့် ကွက်လပ်တစ်ခုရှိသည်။
BlockSec မှ မှတ်ချက်ပြုခဲ့သည်။ NBA အသင်း NFT တရားဝင်ခွင့်ပြုထားသော လက်မှတ်များနှင့် ပေးပို့သူများ၏ လိပ်စာတို့၏ ညီညွတ်မှုကို အတည်မပြုထားဘဲ၊ ၎င်းသည် အစောပိုင်းတွင် စတင်ရောင်းချချိန်တွင် သုံးစွဲ၍မရသော တိုကင်များကို ခွင့်ပြုချက်မရှိဘဲ အသုံးပြုသူများအား ဝင်ရောက်ခွင့်ပြုသည့် ချို့ယွင်းချက်တစ်ခုဖြစ်သည်။
"အဆိုပါ AssociationNFT စာချုပ်မှာ အားနည်းချက်ရှိတယ်။ verify လုပ်ဆောင်ချက်သည် မပါရှိပါ။
1) တစ်ကြိမ်သာသုံးနိုင်စေရန်အတွက် nonce တစ်ခုရှိသည်။
2) မက်ဆေ့ချ်ပေးပို့သူအား လက်မှတ်ရေးထိုးသူနှင့် ချိတ်ပါ” BlockSec Tweet ဒီနေ့အစောပိုင်း
အဆိုပါ #AssociationNFT စာချုပ်မှာ အားနည်းချက်ရှိတယ်။ verify function မပါဘူး။
1) တစ်ကြိမ်သာသုံးနိုင်စေရန်အတွက် nonce ပါရှိပါသည်။
2) မက်ဆေ့ချ်ပေးပို့သူကို လက်မှတ်ထိုးသူနှင့် ချိတ်ပါ။@NBAxNFT
@defiprime pic.twitter.com/NsCsBFo2Yo— BlockSec (@BlockSecTeam) ဧပြီလ 21, 2022
Association NFT ဆော့ဖ်ဝဲရေးသားသူများ၏ အဓိက လုံခြုံရေး ကွက်လပ်ကို လိုက်ပြီးနောက်၊ တိုက်ခိုက်သူသည် ဒစ်ဂျစ်တယ်စုဆောင်းနိုင်သည့် ယူနစ် 100 ကို အမှားအယွင်းမှ အခွင့်ကောင်းယူခဲ့သည်။
တိုက်ခိုက်သူသည် Association NFTs များကို တီထွင်ပြီးနောက် ခဏအကြာတွင် အသုံးပြုသူသည် ၎င်းတို့ကို လူကြိုက်များသော သုံးစွဲ၍မရသော တိုကင်စျေးကွက် OpenSea တွင် ရောင်းချခဲ့သည်။
အဆိုပါတိုက်ခိုက်မှု ကိစ္စ NBA သည် ၎င်း၏ NFTs ၏ minting event ကို အလံတင်ပြီးနောက် နာရီအတော်ကြာတွင် ဖြစ်ပွားခဲ့ပြီး အသုံးပြုသူသည် စာရေးချိန်တွင် $2.72 ဝန်းကျင်တန်ဖိုးရှိသော 8,421 ETH အခကြေးငွေကို ပေးဆောင်ခဲ့သည်။
မကြာသေးမီက ဖွံ့ဖြိုးတိုးတက်မှုသည် လုံခြုံရေးဆော့ဖ်ဝဲရေးသားသူများအား ၎င်းတို့၏ပရောဂျက်များ၏ ကန်ထရိုက်များကို လုံလုံလောက်လောက် လုံခြုံရေးစစ်ဆေးမှုများ ပြုလုပ်ရန် အကြံပြုထားသည့် အကြောင်းရင်းများထဲမှ တစ်ခုဖြစ်ကြောင်း သတိပြုသင့်ပါသည်။
NBA က ၎င်းတို့၏ တုံ့ပြန်မှုကို ပေးခဲ့သည်။
"ခွင့်ပြုစာရင်းပေးသွင်းမှုကို အချိန်မတန်မီ ရောင်းထွက်သွားစေသည့် စမတ်စာချုပ်ဆိုင်ရာ ပြဿနာများကို ကျွန်ုပ်တို့အသိအမှတ်ပြုပါသည်။ ဤအခြေအနေအတွက် ကျွန်ုပ်တို့ တောင်းပန်ပြီး ရလဒ်အနေဖြင့် ဖျက်၍မရသော ခွင့်ပြုစာရင်း ပိုက်ဆံအိတ်များကို လောလောဆယ် ရှာဖွေဖော်ထုတ်နေပါသည်။"
ခွင့်ပြုစာရင်းပေးသွင်းမှုကို အချိန်မတိုင်မီ ရောင်းကုန်စေသည့် စမတ်စာချုပ်ဆိုင်ရာ ပြဿနာများကို ကျွန်ုပ်တို့အသိအမှတ်ပြုပါသည်။ ဤအခြေအနေအတွက် ကျွန်ုပ်တို့ တောင်းပန်ပြီး ရလဒ်အနေဖြင့် မွမ်းမံနိုင်ခြင်း မရှိသော ခွင့်ပြုစာရင်း ပိုက်ဆံအိတ်များကို လောလောဆယ် ရှာဖွေဖော်ထုတ်နေပါသည်။
— NBAxNFT (@NBAxNFT) ဧပြီလ 20, 2022
NBA သည် အသင်း NFTs ကို စတင်သည်။
ထိုအချိန်တွင် NBA အသင်းက အလံပြခဲ့သည်။ ၎င်း၏အသင်း NFT ၏ minting လေ့ကျင့်ခန်းပိုင်ဆိုင်မှု 18,000 ၏ အစိတ်အပိုင်းများကို သတ္တုစပ်ရန် အခွင့်အလမ်းပေးခြင်း၊
ဘတ်စကတ်ဘောအသင်း၏အဆိုအရ NFT ၏ယူနစ်တစ်ခုသည် ဤရာသီ၏ playoffs တွင်ပါဝင်သည့် တကယ့် NBA ကစားသမားကိုကိုယ်စားပြုသည်။
အသင်းဝဘ်ဆိုဒ်တွင်ဖော်ပြထားသည့်အတိုင်း၊ NBA ပရိသတ်များသည် minting အခမဲ့ဖြစ်သောကြောင့် NFT ကိုရယူရာတွင်များစွာသောပေးချေမည်မဟုတ်ပါ။ သို့သော်၊ အသုံးပြုသူများသည် 1 ETH (ဒေါ်လာ 3,077) အထိ မြင့်တက်လာနိုင်သည့် ဓာတ်ငွေ့ကုန်ကျစရိတ်များအတွက် ပေးဆောင်ရမည်ဖြစ်သည်။
- ကြော်ငြာ -
Source: https://thecryptobasic.com/2022/04/21/loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts/?utm_source=rss&utm_medium=rss&utm_campaign=loophole-spotted-in-nba-association-non-fungible-tokens-as-attacker-exploits-code-to-mint-100-nfts