У контракті цифрових колекцій NBA існує серйозна вразливість безпеки
Нещодавно НБА запустила серію цифрових колекцій, що викликало широкий інтерес. Однак деякі експерти з безпеки, переглядаючи її контракти на продаж, виявили шокуючу серйозну уразливість. Ця уразливість може дозволити зловмисникам безкоштовно створювати колекції та отримувати неправомірну вигоду від їх продажу.
Суть проблеми полягає в тому, що механізм перевірки підписів користувачів білої списку в контракті має недоліки. Контракт не реалізував дві ключові заходи безпеки: забезпечити, щоб підписи білого списку могли використовуватися тільки конкретними користувачами, а також щоб кожен підпис можна було використовувати лише один раз. Це означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для виготовлення колекцій.
З відкритого коду контракту чітко видно, що функція verify під час перевірки підпису не включає адресу відправника у вміст підпису. Крім того, контракт не має механізму, що запобігає багаторазовому використанню одного й того ж підпису. Ці заходи безпеки мали бути базовими знаннями програмної розробки, але були проігноровані в цьому гучному проекті.
!
Експерти в галузі висловили шок і занепокоєння. Вони зазначили, що такий рівень безпекового вразливості у такому відомому проєкті є неймовірним. Це не лише виявляє недбалість розробників проєкту в розробці та аудиті смарт-контрактів, але й підкреслює, що всій галузі ще доведеться пройти довгий шлях у практиках безпеки.
Ця подія знову нагадує нам, що навіть найбільші та найнадійніші установи можуть припуститися основних помилок, коли заходять у нові технологічні сфери. Для учасників ринку цифрових колекцій це є попередженням: перед участю в будь-якому проекті необхідно повністю оцінити його технологічну основу та заходи безпеки.
З огляду на постійне розширення ринку цифрових колекцій, подібні проблеми безпеки можуть все частіше ставати предметом обговорення. Це не лише вимагає від проектних команд підвищення пильності та посилення безпекового аудиту, але й закликає всю галузь встановити вищі стандарти безпеки та найкращі практики. Тільки так можна справді захистити інтереси користувачів і сприяти здоровому розвитку ринку цифрових колекцій.
!
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
20 лайків
Нагородити
20
6
Репост
Поділіться
Прокоментувати
0/400
gas_fee_therapy
· 07-21 20:57
жахливий недолік
Переглянути оригіналвідповісти на0
YieldWhisperer
· 07-21 02:13
бачив цей точно такий експлойт у 2021 році... якщо чесно, аматорська безпека
Переглянути оригіналвідповісти на0
Ramen_Until_Rich
· 07-20 22:08
Недоумковий контракт, і все ще наважується вийти на ринок.
Переглянути оригіналвідповісти на0
Layer2Arbitrageur
· 07-18 23:21
лmao уявіть собі, що не перевіряєте підписи належним чином у 2024... ngmi
Переглянути оригіналвідповісти на0
BearWhisperGod
· 07-18 23:17
Смішно, що Дозволений список також може зазнати невдач?
Контракт цифрових колекцій NBA виявив серйозну вразливість, зловмисні користувачі можуть безкоштовно мінтити та отримувати прибуток.
У контракті цифрових колекцій NBA існує серйозна вразливість безпеки
Нещодавно НБА запустила серію цифрових колекцій, що викликало широкий інтерес. Однак деякі експерти з безпеки, переглядаючи її контракти на продаж, виявили шокуючу серйозну уразливість. Ця уразливість може дозволити зловмисникам безкоштовно створювати колекції та отримувати неправомірну вигоду від їх продажу.
Суть проблеми полягає в тому, що механізм перевірки підписів користувачів білої списку в контракті має недоліки. Контракт не реалізував дві ключові заходи безпеки: забезпечити, щоб підписи білого списку могли використовуватися тільки конкретними користувачами, а також щоб кожен підпис можна було використовувати лише один раз. Це означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для виготовлення колекцій.
З відкритого коду контракту чітко видно, що функція verify під час перевірки підпису не включає адресу відправника у вміст підпису. Крім того, контракт не має механізму, що запобігає багаторазовому використанню одного й того ж підпису. Ці заходи безпеки мали бути базовими знаннями програмної розробки, але були проігноровані в цьому гучному проекті.
!
Експерти в галузі висловили шок і занепокоєння. Вони зазначили, що такий рівень безпекового вразливості у такому відомому проєкті є неймовірним. Це не лише виявляє недбалість розробників проєкту в розробці та аудиті смарт-контрактів, але й підкреслює, що всій галузі ще доведеться пройти довгий шлях у практиках безпеки.
Ця подія знову нагадує нам, що навіть найбільші та найнадійніші установи можуть припуститися основних помилок, коли заходять у нові технологічні сфери. Для учасників ринку цифрових колекцій це є попередженням: перед участю в будь-якому проекті необхідно повністю оцінити його технологічну основу та заходи безпеки.
З огляду на постійне розширення ринку цифрових колекцій, подібні проблеми безпеки можуть все частіше ставати предметом обговорення. Це не лише вимагає від проектних команд підвищення пильності та посилення безпекового аудиту, але й закликає всю галузь встановити вищі стандарти безпеки та найкращі практики. Тільки так можна справді захистити інтереси користувачів і сприяти здоровому розвитку ринку цифрових колекцій.
!