مؤخراً، أطلقت NBA سلسلة من المقتنيات الرقمية، مما أثار اهتماماً واسعاً. ومع ذلك، اكتشف بعض خبراء الأمن عند مراجعة عقد البيع الخاص بها ثغرة كبيرة صادمة. قد تؤدي هذه الثغرة إلى تمكين المستخدمين الضارين من سك المقتنيات بدون تكلفة، وتحقيق مكاسب غير مشروعة من خلال البيع.
تتمثل المشكلة الأساسية في وجود عيب في آلية التحقق من توقيع المستخدمين في القائمة البيضاء في العقد. لم ينفذ العقد تدبيرين أمان رئيسيين: التأكد من أن توقيع القائمة البيضاء يمكن استخدامه فقط من قبل مستخدمين محددين، وأن كل توقيع يمكن استخدامه مرة واحدة فقط. وهذا يعني أن المهاجمين يمكنهم إعادة استخدام توقيعات مستخدمين آخرين في القائمة البيضاء لصنع المقتنيات.
من الواضح من كود العقد المفتوح أنه خلال عملية التحقق من التوقيع، لم يتم تضمين عنوان المرسل في محتوى التوقيع. بالإضافة إلى ذلك، لم يقم العقد بتحديد آلية لمنع استخدام نفس التوقيع عدة مرات. كان ينبغي أن تكون هذه التدابير الأمنية من البديهيات الأساسية في تطوير البرمجيات، لكنها تم تجاهلها في هذا المشروع الذي يحظى باهتمام كبير.
!
أعرب الخبراء في هذا المجال عن صدمتهم وقلقهم حيال ذلك. وأشاروا إلى أن ظهور ثغرة أمنية بهذا المستوى في مشروع مشهور جدًا هو أمر لا يصدق. هذا لا يكشف فقط عن إهمال فريق المشروع في تطوير العقود الذكية وتدقيقها، بل يبرز أيضًا أن الصناعة بأكملها لا تزال بحاجة إلى بذل المزيد من الجهد في ممارسات الأمان.
تذكّرنا هذه الحادثة مرة أخرى أنه حتى أكبر وأوثق المؤسسات قد ترتكب أخطاء أساسية عند دخولها مجالات التكنولوجيا الجديدة. بالنسبة للمشاركين في سوق المقتنيات الرقمية، هذه تحذير: قبل الانخراط في أي مشروع، يجب أن يتم تقييم شامل لأساسه التكنولوجي وتدابير الأمان.
مع التوسع المستمر في سوق المقتنيات الرقمية، قد يتم الكشف عن مشكلات أمان مماثلة بشكل متزايد. وهذا لا يتطلب فقط من الجهات المعنية أن تكون أكثر يقظة وتعزز من تدقيق الأمان، بل يتطلب أيضًا من الصناعة بأكملها أن تؤسس معايير أمان أعلى وأفضل الممارسات. فقط من خلال ذلك يمكننا حماية مصالح المستخدمين حقًا وتعزيز التنمية الصحية لسوق المقتنيات الرقمية.
!
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 20
أعجبني
20
6
مشاركة
تعليق
0/400
gas_fee_therapy
· 07-21 20:57
ثغرة قبيحة بشكل مروع
شاهد النسخة الأصليةرد0
YieldWhisperer
· 07-21 02:13
رأيت هذا الاستغلال بالضبط في عام 2021... أمان ساعة الهواة بصراحة
شاهد النسخة الأصليةرد0
Ramen_Until_Rich
· 07-20 22:08
عقد ذكي، هل يجرؤ على الإطلاق على الإطلاق؟
شاهد النسخة الأصليةرد0
Layer2Arbitrageur
· 07-18 23:21
هههه تخيل عدم التحقق من التواقيع بشكل صحيح في عام 2024... لن ننجح
كشف عقد NBA للمنتجات الرقمية عن ثغرة كبيرة، حيث يمكن للمستخدمين الخبيثين أن يقوموا بالسك مجاناً والربح منها.
توجد ثغرات أمنية خطيرة في عقد مقتنيات NBA الرقمية
مؤخراً، أطلقت NBA سلسلة من المقتنيات الرقمية، مما أثار اهتماماً واسعاً. ومع ذلك، اكتشف بعض خبراء الأمن عند مراجعة عقد البيع الخاص بها ثغرة كبيرة صادمة. قد تؤدي هذه الثغرة إلى تمكين المستخدمين الضارين من سك المقتنيات بدون تكلفة، وتحقيق مكاسب غير مشروعة من خلال البيع.
تتمثل المشكلة الأساسية في وجود عيب في آلية التحقق من توقيع المستخدمين في القائمة البيضاء في العقد. لم ينفذ العقد تدبيرين أمان رئيسيين: التأكد من أن توقيع القائمة البيضاء يمكن استخدامه فقط من قبل مستخدمين محددين، وأن كل توقيع يمكن استخدامه مرة واحدة فقط. وهذا يعني أن المهاجمين يمكنهم إعادة استخدام توقيعات مستخدمين آخرين في القائمة البيضاء لصنع المقتنيات.
من الواضح من كود العقد المفتوح أنه خلال عملية التحقق من التوقيع، لم يتم تضمين عنوان المرسل في محتوى التوقيع. بالإضافة إلى ذلك، لم يقم العقد بتحديد آلية لمنع استخدام نفس التوقيع عدة مرات. كان ينبغي أن تكون هذه التدابير الأمنية من البديهيات الأساسية في تطوير البرمجيات، لكنها تم تجاهلها في هذا المشروع الذي يحظى باهتمام كبير.
!
أعرب الخبراء في هذا المجال عن صدمتهم وقلقهم حيال ذلك. وأشاروا إلى أن ظهور ثغرة أمنية بهذا المستوى في مشروع مشهور جدًا هو أمر لا يصدق. هذا لا يكشف فقط عن إهمال فريق المشروع في تطوير العقود الذكية وتدقيقها، بل يبرز أيضًا أن الصناعة بأكملها لا تزال بحاجة إلى بذل المزيد من الجهد في ممارسات الأمان.
تذكّرنا هذه الحادثة مرة أخرى أنه حتى أكبر وأوثق المؤسسات قد ترتكب أخطاء أساسية عند دخولها مجالات التكنولوجيا الجديدة. بالنسبة للمشاركين في سوق المقتنيات الرقمية، هذه تحذير: قبل الانخراط في أي مشروع، يجب أن يتم تقييم شامل لأساسه التكنولوجي وتدابير الأمان.
مع التوسع المستمر في سوق المقتنيات الرقمية، قد يتم الكشف عن مشكلات أمان مماثلة بشكل متزايد. وهذا لا يتطلب فقط من الجهات المعنية أن تكون أكثر يقظة وتعزز من تدقيق الأمان، بل يتطلب أيضًا من الصناعة بأكملها أن تؤسس معايير أمان أعلى وأفضل الممارسات. فقط من خلال ذلك يمكننا حماية مصالح المستخدمين حقًا وتعزيز التنمية الصحية لسوق المقتنيات الرقمية.
!