NBA 近日推出的動態 NFT「THE ASSOCIATION」出現重大漏洞,因為智能合約漏洞,導致許多沒有白名單的用戶也能夠大量鑄造,進而使得部分符合資格的用戶損失權益。
根據 Azuki 開發人員 cygaar 的說法,若想利用其合約漏洞,只需將此數據發送到尚未鑄造過的錢包上的合約地址。無需擁有白名單資格也可以進行此操作。
這意味者同樣的簽名能被任何人重複利用,只需一個有效的簽名便可無限循環。雖然一個錢包僅能鑄造一次,但要創建一個新錢包不過就是幾秒鐘的事情而已。
此外,cygaar 提出了一個更大的疏失。合約並沒有檢查交易是否來自用戶,若能多添加一行:require(tx.origin == msg.sender, ‘Caller not user’),即可降低合約被濫用的風險。
上述漏洞被發現後,被許多有心人士利用,導致 NFT 在短時間內被鑄造完畢,甚至導致有白名單的用戶無法鑄造。
