Le contrat de collection numérique NBA présente de graves vulnérabilités de sécurité
Récemment, la NBA a lancé une série de collections numériques, suscitant un large intérêt. Cependant, certains experts en sécurité ont découvert, lors de l'examen de leurs contrats de vente, une vulnérabilité majeure choquante. Cette vulnérabilité pourrait permettre à des utilisateurs malveillants de frapper des objets de collection sans frais et d'en tirer des bénéfices indus en les vendant.
Le cœur du problème réside dans le fait que le mécanisme de vérification des signatures des utilisateurs sur la liste blanche présente des défauts. Le contrat n'a pas mis en œuvre deux mesures de sécurité clés : garantir que les signatures de la liste blanche ne peuvent être utilisées que par des utilisateurs spécifiques et que chaque signature ne peut être utilisée qu'une seule fois. Cela signifie qu'un attaquant peut réutiliser les signatures d'autres utilisateurs de la liste blanche pour frapper des objets de collection.
Il est clair à partir du code de contrat public que la fonction verify, lors de la vérification de la signature, n'inclut pas l'adresse de l'expéditeur dans le contenu de la signature. De plus, le contrat n'a pas mis en place de mécanisme pour empêcher qu'une même signature soit utilisée plusieurs fois. Ces mesures de sécurité devraient être des connaissances de base en développement logiciel, mais ont été ignorées dans ce projet très médiatisé.
Les experts du secteur ont exprimé leur choc et leur inquiétude. Ils ont souligné qu'un niveau de vulnérabilité de cette ampleur apparaissant dans un projet aussi connu est incroyable. Cela expose non seulement la négligence de l'équipe du projet dans le développement et l'audit des contrats intelligents, mais met également en évidence le long chemin qu'il reste à parcourir pour l'ensemble de l'industrie en matière de pratiques de sécurité.
Cet événement nous rappelle une fois de plus que même les institutions les plus grandes et les plus dignes de confiance peuvent commettre des erreurs fondamentales lorsqu'elles s'aventurent dans de nouveaux domaines technologiques. Pour les participants du marché des NFT, c'est un avertissement : avant de s'engager dans un projet, il est impératif d'évaluer en profondeur ses bases technologiques et ses mesures de sécurité.
Avec l'expansion continue du marché des objets de collection numériques, des problèmes de sécurité similaires pourraient être de plus en plus exposés. Cela exige non seulement des équipes de projet qu'elles restent vigilantes et renforcent les audits de sécurité, mais appelle également l'ensemble de l'industrie à établir des normes de sécurité et des meilleures pratiques plus élevées. Ce n'est qu'ainsi que l'on pourra réellement protéger les intérêts des utilisateurs et promouvoir le développement sain du marché des objets de collection numériques.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
20 J'aime
Récompense
20
6
Partager
Commentaire
0/400
gas_fee_therapy
· 07-21 20:57
Une vulnérabilité affreuse à exploser.
Voir l'originalRépondre0
YieldWhisperer
· 07-21 02:13
j'ai vu exactement cette exploitation en 2021... la sécurité de l'heure amateur à vrai dire
Voir l'originalRépondre0
Ramen_Until_Rich
· 07-20 22:08
Contrat stupide, et ils osent encore le lancer.
Voir l'originalRépondre0
Layer2Arbitrageur
· 07-18 23:21
mdr imagine ne pas valider correctement les sigs en 2024... ngmi
Voir l'originalRépondre0
BearWhisperGod
· 07-18 23:17
Morte de rire, l'Allowlist peut-elle aussi échouer ?
Voir l'originalRépondre0
CryptoFortuneTeller
· 07-18 23:08
Les choses officielles ne sont pas fiables non plus.
Un contrat de collection numérique NBA expose une faille majeure ; des utilisateurs malveillants pourraient minting gratuitement et en tirer profit.
Le contrat de collection numérique NBA présente de graves vulnérabilités de sécurité
Récemment, la NBA a lancé une série de collections numériques, suscitant un large intérêt. Cependant, certains experts en sécurité ont découvert, lors de l'examen de leurs contrats de vente, une vulnérabilité majeure choquante. Cette vulnérabilité pourrait permettre à des utilisateurs malveillants de frapper des objets de collection sans frais et d'en tirer des bénéfices indus en les vendant.
Le cœur du problème réside dans le fait que le mécanisme de vérification des signatures des utilisateurs sur la liste blanche présente des défauts. Le contrat n'a pas mis en œuvre deux mesures de sécurité clés : garantir que les signatures de la liste blanche ne peuvent être utilisées que par des utilisateurs spécifiques et que chaque signature ne peut être utilisée qu'une seule fois. Cela signifie qu'un attaquant peut réutiliser les signatures d'autres utilisateurs de la liste blanche pour frapper des objets de collection.
Il est clair à partir du code de contrat public que la fonction verify, lors de la vérification de la signature, n'inclut pas l'adresse de l'expéditeur dans le contenu de la signature. De plus, le contrat n'a pas mis en place de mécanisme pour empêcher qu'une même signature soit utilisée plusieurs fois. Ces mesures de sécurité devraient être des connaissances de base en développement logiciel, mais ont été ignorées dans ce projet très médiatisé.
Les experts du secteur ont exprimé leur choc et leur inquiétude. Ils ont souligné qu'un niveau de vulnérabilité de cette ampleur apparaissant dans un projet aussi connu est incroyable. Cela expose non seulement la négligence de l'équipe du projet dans le développement et l'audit des contrats intelligents, mais met également en évidence le long chemin qu'il reste à parcourir pour l'ensemble de l'industrie en matière de pratiques de sécurité.
Cet événement nous rappelle une fois de plus que même les institutions les plus grandes et les plus dignes de confiance peuvent commettre des erreurs fondamentales lorsqu'elles s'aventurent dans de nouveaux domaines technologiques. Pour les participants du marché des NFT, c'est un avertissement : avant de s'engager dans un projet, il est impératif d'évaluer en profondeur ses bases technologiques et ses mesures de sécurité.
Avec l'expansion continue du marché des objets de collection numériques, des problèmes de sécurité similaires pourraient être de plus en plus exposés. Cela exige non seulement des équipes de projet qu'elles restent vigilantes et renforcent les audits de sécurité, mais appelle également l'ensemble de l'industrie à établir des normes de sécurité et des meilleures pratiques plus élevées. Ce n'est qu'ainsi que l'on pourra réellement protéger les intérêts des utilisateurs et promouvoir le développement sain du marché des objets de collection numériques.