據世鏈nft數藏報道(shiliannft.com),網絡安全公司Sayfer發現了一個影響10% NFT項目的新漏洞。所謂的BadReveal漏洞攻擊不可替換令牌的鑄造過程,這意味著隨機生成。通過利用BadReveal bug,攻擊者可以在發布時獲得最好和最有價值的NFT,然后在二級市場上轉售它們以獲取巨大利潤。
Sayfer旨在防止智能合同缺陷
對于大多數NFT項目,代幣是盲目鑄造的,以確保公平分配非功能性貨幣,其稀有特征可能會有很大差異。在造幣廠建成后的幾天內,“揭示”就發生了,元數據被公開,買家可以確定他們的NFT的特征。如果攻擊者設法在元數據泄露之前訪問它,他們可以使用這些信息來獲取有價值的未泄露的NFT。
在分析領先的NFT項目的代碼時,Sayfer研究人員發現,其中許多項目在揭示過程中需要兩個不同的事務。項目所有者首先為展示設置唯一的元數據,然后將數據展示給公眾。在這兩個事務之間的時間,通常是幾個小時甚至幾天,一個熟練的攻擊者可以掃描項目中的所有NFT元數據,并找出最稀有的令牌。
Sayfer在它評估的幾十個項目的代碼庫中發現了這個漏洞,并認為它可以在數千個項目中復制。其團隊表示,由于沒有辦法自動測試BadReveal漏洞的存在,NFT項目應在啟動前委托進行安全審計。這將使社區對鑄造過程的完整性有信心,并確保NFT公平分配給將熱情參與項目的所有者。
賽弗爾是一家領先的網絡安全咨詢公司。“我們通過臨時解決方案來彌補普通安全產品無法彌補的差距,從而使組織更加安全。我們的客戶享受快速、定制的解決方案,防止重大安全漏洞。Sayfer擅長利用模仿攻擊者行為的方法進行攻擊性防御。通過逆向工程和漏洞研究,我們能夠在客戶的產品中發現新的安全漏洞,并防止真正的壞人威脅我們的客戶。”
世鏈NFT是業內領先的NFT信息資訊平臺,匯集全球NFT行業資訊,覆蓋NFT從創作、發行到實際應用的五大前沿領域,聚焦國內外NFT數字藏品信息、NFT交易平臺,幫助NFT愛好者挖掘投資機會,全方位打造最新、最及時、最全面的NFT資訊平臺。