Sayfer发现影响所有NFT项目10%的安全漏洞

据世链nft数藏报道（shiliannft.com），网络安全公司Sayfer发现了一个影响10% NFT项目的新漏洞。所谓的BadReveal漏洞攻击不可替换令牌的铸造过程，这意味着随机生成。通过利用BadReveal bug，攻击者可以在发布时获得最好和最有价值的NFT，然后在二级市场上转售它们以获取巨大利润。

Sayfer旨在防止智能合同缺陷

对于大多数NFT项目，代币是盲目铸造的，以确保公平分配非功能性货币，其稀有特征可能会有很大差异。在造币厂建成后的几天内,“揭示”就发生了，元数据被公开，买家可以确定他们的NFT的特征。如果攻击者设法在元数据泄露之前访问它，他们可以使用这些信息来获取有价值的未泄露的NFT。

在分析领先的NFT项目的代码时，Sayfer研究人员发现，其中许多项目在揭示过程中需要两个不同的事务。项目所有者首先为展示设置唯一的元数据，然后将数据展示给公众。在这两个事务之间的时间，通常是几个小时甚至几天，一个熟练的攻击者可以扫描项目中的所有NFT元数据，并找出最稀有的令牌。

Sayfer在它评估的几十个项目的代码库中发现了这个漏洞，并认为它可以在数千个项目中复制。其团队表示，由于没有办法自动测试BadReveal漏洞的存在，NFT项目应在启动前委托进行安全审计。这将使社区对铸造过程的完整性有信心，并确保NFT公平分配给将热情参与项目的所有者。

赛弗尔是一家领先的网络安全咨询公司。“我们通过临时解决方案来弥补普通安全产品无法弥补的差距，从而使组织更加安全。我们的客户享受快速、定制的解决方案，防止重大安全漏洞。Sayfer擅长利用模仿攻击者行为的方法进行攻击性防御。通过逆向工程和漏洞研究，我们能够在客户的产品中发现新的安全漏洞，并防止真正的坏人威胁我们的客户。”