NBA发布的动态性NFT THE ASSOCIATION于昨日零晨宣布对外开放铸造,很多初期进到Discord的拥护者皆能得到白名单资格。殊不知,却由于智能化合约漏洞,造成很多沒有白名单的用户也可以很多铸造,从而促使一部分合乎资格的用户损害利益。THE ASSOCIATION NFT合约漏洞依据Azuki开发者cygaar的观点,若要运用其合约漏洞,只需将此数据信息发送至并未铸造过的钱夹上的合约详细地址。不用有着白名单资格还可以开展此实际操作。将这一段数据信息反汇编后,你能见到它启用的函数公式是mint_approved,认真观察info中的主要参数会发觉这一段编码主要是用于分辨买卖是不是由铸造网址签字,及其用户是不是在白名单内。殊不知,它少了一个重要一部分,他没去查验info.from==msg.sender.
