La National Basketball Association (NBA) ha rivelato di sospendere il conio della sua nuova collezione di token non fungibili, soprannominata – The Association – dopo che BlockSec ha rilevato un'importante scappatoia. Meno di un giorno dopo che la lega ha annunciato il conio del suo token non fungibile (NFT) basato su Ethereum, ha riconosciuto i problemi con lo smart contract che ha fatto sì che la fornitura "Allow List" si esaurisse prematuramente.
Il difetto
La società di sicurezza Blockchain, BlockSec, ha rivelato l'identificazione di una grave vulnerabilità che avrebbe potuto consentire a un'entità malintenzionata di coniare un gran numero di NFT, senza pagare alcun token. Secondo il post ufficiale del blog , la società ha affermato che il motivo principale alla base del difetto è l'uso errato della verifica della firma.
Ciò significa essenzialmente che il contratto non garantisce che la firma possa essere utilizzata dall'utente (e solo dall'utente) una sola volta. La vulnerabilità ha anche consentito all'attaccante di riutilizzare la firma di un utente privilegiato e di coniare i token per se stesso.
La società ha dichiarato,
“Siamo sorpresi di come una tale vulnerabilità possa esistere in un popolare progetto NFT. L'intera comunità deve prestare maggiore attenzione alla sicurezza del contratto".
Secondo quanto riferito, l'attaccante è riuscito a coniare 100 NFT e a venderli sul mercato OpenSea. L'ultimo sviluppo mostra, ancora una volta, la necessità di valutare la sicurezza di uno smart contract.
Un utente di Twitter ha detto ,
“La cosa ancora più esilarante di questa NBA Associated NFT è che si chiama V2 su OpenSea. Ciò significa che hanno creato un contratto, trovato un errore e quindi rilasciato V2 con ancora l'exploit più semplice possibile. Chiunque in NBA scelga questa partnership deve essere licenziato".
La collezione NFT
La NBA aveva svelato per la prima volta il lancio del suo progetto Web 3 – “The Association” – che coinvolge 18.000 token non fungibili che rappresentano tutti i 240 giocatori NBA assegnati ai playoff di quest'anno. Inoltre, 75 NFT vengono assegnati casualmente utilizzando Chainlink VRF a ciascun giocatore delle 16 squadre partecipanti.
Sfruttare gli oracoli di Chainlink consentirà all'aspetto NFT di ogni giocatore di alterarsi automaticamente. Gli NFT dinamici cambieranno aspetto in base alle prestazioni dei giocatori. In breve, più traguardi raggiunti durante i playoff NBA del 2022 significano che i giocatori vedranno più cambiamenti visivi nei loro oggetti da collezione digitali, nel corso del torneo post-stagionale.