NBA NFT合約漏洞百出 官方發佈補償方案

美國國家籃球協會NBA NFT 項目 The Association 於週三開放鑄造。這次免費鑄造的資格只提供給早期進入NBA Discord 且擁有白名單的用戶。

近日，傳出了非白名單用戶透過NBA智能合約漏洞大量鑄造NFT的消息，不少擁有白名單資格的用戶卻無法順利鑄造NBA NFT，反而損失了一筆手續費。

 

NBA NFT 智能合約的漏洞

針對這個消息， Azuki 的開發人員 Cygaar 在推特中發帖講述了NBA NFT 智能合約的漏洞，指出了非白名單用戶是如何通過漏洞調用合約的，並且還給出了幾點建議。

Cygaar 指出，如果人們要利用此合約漏洞，只需將數據發送到尚未鑄造錢包上的合約地址，這一步驟，即便沒有白名單資格也可進行操作。而「雖然一個錢包僅能鑄造一次，但創建新錢包相當容易，還可以透過合約來循環此動作。」因此，只有擁有了一個有效的簽名，不法分子就可以任意重複鑄造 NBA NFT。

此外，Cygaar 還指出，合約並沒有檢查交易是否來自用戶。認為此次合約整體上看起來十分草率，合理懷疑是從其他地方複製貼上的。

 

NBA NFT 官方致歉並發佈補償方案

事發後，NBA NFT 在推特上表達歉意，並在今日表示，為了補償白名單用戶因合約漏洞未獲得空套，此次 NBA NFT 的數量將從18000枚增加到30000枚，且每個玩家的原始NFT數量將增加50枚。

同時，官方表示目前仍在分析鑄造漏洞問題，正在積極尋求解決方案。