В контракте на цифровые коллекционные предметы NBA существует серьезная уязвимость безопасности
Недавно НБА запустила серию цифровых коллекционных предметов, что привлекло широкое внимание. Однако некоторые эксперты по безопасности, проверяя их контракт на продажу, обнаружили шокирующую уязвимость. Эта уязвимость может позволить злоумышленникам бесстоимостьно чеканить коллекционные предметы и получать неправомерную выгоду от их продажи.
Суть проблемы заключается в том, что механизм проверки подписей пользователей белого списка в контракте имеет недостатки. Контракт не реализовал две ключевые меры безопасности: гарантировать, что подпись белого списка может быть использована только определенным пользователем, и что каждая подпись может быть использована только один раз. Это означает, что злоумышленники могут повторно использовать подписи других пользователей белого списка для создания коллекционных предметов.
Из открытого кода контракта видно, что функция verify не включает адрес отправителя в содержимое подписи во время проверки подписи. Кроме того, контракт не имеет механизма, чтобы предотвратить многократное использование одной и той же подписи. Эти меры безопасности должны быть основополагающими для разработки программного обеспечения, но они были проигнорированы в этом широко обсуждаемом проекте.
!
Отраслевые эксперты выразили шок и беспокойство по этому поводу. Они отметили, что такой уровень уязвимости безопасности в столь известном проекте невероятен. Это не только обнажает небрежность команды проекта в разработке и аудите смарт-контрактов, но и подчеркивает, что всей отрасли еще предстоит долгий путь в области практики безопасности.
Это событие снова напоминает нам, что даже самые крупные и доверенные учреждения могут допустить основные ошибки, когда они входят в область новых технологий. Для участников рынка цифровых коллекционных предметов это предостережение: перед тем как участвовать в любом проекте, обязательно нужно провести всестороннюю оценку его технологической базы и мер безопасности.
С расширением рынка цифровых коллекционных предметов подобные проблемы безопасности могут все чаще становиться предметом обсуждения. Это требует от команд проектов повышенной бдительности и усиления аудита безопасности, а также призывает всю отрасль установить более высокие стандарты безопасности и лучшие практики. Только так можно действительно защитить интересы пользователей и способствовать здоровому развитию рынка цифровых коллекционных предметов.
!
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
20 Лайков
Награда
20
6
Поделиться
комментарий
0/400
gas_fee_therapy
· 07-21 20:57
ужасная уязвимость
Посмотреть ОригиналОтветить0
YieldWhisperer
· 07-21 02:13
видел эту самую уязвимость в 2021 году... если честно, это Amateur hour безопасность
Посмотреть ОригиналОтветить0
Ramen_Until_Rich
· 07-20 22:08
Умственно отсталый контракт, и он осмеливается выйти в эфир.
Посмотреть ОригиналОтветить0
Layer2Arbitrageur
· 07-18 23:21
лmao представьте себе, что не валидируете сиги должным образом в 2024 году... ngmi
Посмотреть ОригиналОтветить0
BearWhisperGod
· 07-18 23:17
Смешно, Разрешенный список тоже может потерпеть неудачу?
Контракт на цифровые коллекционные предметы NBA обрел серьезную уязвимость: злоумышленники могут бесплатно минтить и извлекать прибыль.
В контракте на цифровые коллекционные предметы NBA существует серьезная уязвимость безопасности
Недавно НБА запустила серию цифровых коллекционных предметов, что привлекло широкое внимание. Однако некоторые эксперты по безопасности, проверяя их контракт на продажу, обнаружили шокирующую уязвимость. Эта уязвимость может позволить злоумышленникам бесстоимостьно чеканить коллекционные предметы и получать неправомерную выгоду от их продажи.
Суть проблемы заключается в том, что механизм проверки подписей пользователей белого списка в контракте имеет недостатки. Контракт не реализовал две ключевые меры безопасности: гарантировать, что подпись белого списка может быть использована только определенным пользователем, и что каждая подпись может быть использована только один раз. Это означает, что злоумышленники могут повторно использовать подписи других пользователей белого списка для создания коллекционных предметов.
Из открытого кода контракта видно, что функция verify не включает адрес отправителя в содержимое подписи во время проверки подписи. Кроме того, контракт не имеет механизма, чтобы предотвратить многократное использование одной и той же подписи. Эти меры безопасности должны быть основополагающими для разработки программного обеспечения, но они были проигнорированы в этом широко обсуждаемом проекте.
!
Отраслевые эксперты выразили шок и беспокойство по этому поводу. Они отметили, что такой уровень уязвимости безопасности в столь известном проекте невероятен. Это не только обнажает небрежность команды проекта в разработке и аудите смарт-контрактов, но и подчеркивает, что всей отрасли еще предстоит долгий путь в области практики безопасности.
Это событие снова напоминает нам, что даже самые крупные и доверенные учреждения могут допустить основные ошибки, когда они входят в область новых технологий. Для участников рынка цифровых коллекционных предметов это предостережение: перед тем как участвовать в любом проекте, обязательно нужно провести всестороннюю оценку его технологической базы и мер безопасности.
С расширением рынка цифровых коллекционных предметов подобные проблемы безопасности могут все чаще становиться предметом обсуждения. Это требует от команд проектов повышенной бдительности и усиления аудита безопасности, а также призывает всю отрасль установить более высокие стандарты безопасности и лучшие практики. Только так можно действительно защитить интересы пользователей и способствовать здоровому развитию рынка цифровых коллекционных предметов.
!