NBA dijital koleksiyon sözleşmesinde ciddi bir güvenlik açığı var
Son zamanlarda, NBA bir dizi dijital koleksiyon ürününü piyasaya sürdü ve bu geniş bir ilgi uyandırdı. Ancak, bazı güvenlik uzmanları satış sözleşmelerini incelediklerinde, şok edici bir büyük güvenlik açığı keşfettiler. Bu açık, kötü niyetli kullanıcıların maliyet olmadan koleksiyon ürünleri üretmelerine ve bunları satarak haksız kazanç elde etmelerine olanak tanıyabilir.
Sorunun özü, sözleşmenin beyaz liste kullanıcılarının imza doğrulama mekanizmasında bir eksiklik bulunmasındadır. Sözleşme, beyaz liste imzasının yalnızca belirli kullanıcılar tarafından kullanılmasını sağlamak ve her imzanın yalnızca bir kez kullanılmasını sağlamak gibi iki temel güvenlik önlemini uygulamamıştır. Bu, saldırganların diğer beyaz liste kullanıcılarının imzalarını tekrar kullanarak koleksiyonlar basabileceği anlamına gelir.
Açık sözleşme kodlarından, verify fonksiyonunun imza doğrulama işleminde gönderenin adresini imza içeriğine dahil etmediği açıkça görülebilir. Ayrıca, sözleşme aynı imzanın birden fazla kez kullanılmasını önlemek için bir mekanizma da kurmamıştır. Bu güvenlik önlemleri, temel yazılım geliştirme bilgisi olmalıydı, ancak bu dikkat çekici projede göz ardı edilmiştir.
Sektör uzmanları bununla ilgili olarak şok ve endişe ifade ettiler. Bu kadar tanınmış bir projede bu seviyede bir güvenlik açığının ortaya çıkmasının inanılmaz olduğunu belirttiler. Bu, sadece proje ekibinin akıllı sözleşme geliştirme ve denetim konusundaki dikkatsizliğini ortaya çıkarmakla kalmıyor, aynı zamanda sektörün güvenlik uygulamaları konusunda hala kat etmesi gereken uzun bir yol olduğunu vurguluyor.
Bu olay, en büyük ve en güvenilir kurumların bile yeni teknoloji alanına girdiğinde temel hatalar yapabileceğini bir kez daha hatırlatıyor. Dijital koleksiyon pazarına katılanlar için bu, herhangi bir projeye katılmadan önce teknik temelleri ve güvenlik önlemlerini kapsamlı bir şekilde değerlendirmeleri gerektiğini gösteren bir uyarıdır.
Dijital koleksiyon pazarının sürekli genişlemesiyle birlikte, benzer güvenlik sorunlarının giderek daha fazla ifşa edilmesi olasıdır. Bu yalnızca proje sahiplerinin dikkatini artırmasını ve güvenlik denetimlerini güçlendirmesini değil, aynı zamanda tüm sektörün daha yüksek güvenlik standartları ve en iyi uygulamalar oluşturmasını da gerektirir. Ancak bu şekilde, kullanıcıların çıkarlarını gerçekten koruyabilir ve dijital koleksiyon pazarının sağlıklı gelişimini teşvik edebiliriz.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
20 Likes
Reward
20
6
Share
Comment
0/400
gas_fee_therapy
· 07-21 20:57
Patlayacak kadar çirkin bir açık
View OriginalReply0
YieldWhisperer
· 07-21 02:13
2021'de bu tam istismarı gördüm... açıkçası amatör saat güvenliği
View OriginalReply0
Ramen_Until_Rich
· 07-20 22:08
Zeka engelli sözleşmesi, bununla hala çevrimiçi olmaya cesaret ediyor.
View OriginalReply0
Layer2Arbitrageur
· 07-18 23:21
lmao 2024'te imzaları düzgün doğrulamayı hayal et... ngmi
NBA dijital koleksiyon sözleşmesinde büyük bir açık ortaya çıktı, kötü niyetli kullanıcılar ücretsiz olarak mintleme yaparak kâr elde edebilir.
NBA dijital koleksiyon sözleşmesinde ciddi bir güvenlik açığı var
Son zamanlarda, NBA bir dizi dijital koleksiyon ürününü piyasaya sürdü ve bu geniş bir ilgi uyandırdı. Ancak, bazı güvenlik uzmanları satış sözleşmelerini incelediklerinde, şok edici bir büyük güvenlik açığı keşfettiler. Bu açık, kötü niyetli kullanıcıların maliyet olmadan koleksiyon ürünleri üretmelerine ve bunları satarak haksız kazanç elde etmelerine olanak tanıyabilir.
Sorunun özü, sözleşmenin beyaz liste kullanıcılarının imza doğrulama mekanizmasında bir eksiklik bulunmasındadır. Sözleşme, beyaz liste imzasının yalnızca belirli kullanıcılar tarafından kullanılmasını sağlamak ve her imzanın yalnızca bir kez kullanılmasını sağlamak gibi iki temel güvenlik önlemini uygulamamıştır. Bu, saldırganların diğer beyaz liste kullanıcılarının imzalarını tekrar kullanarak koleksiyonlar basabileceği anlamına gelir.
Açık sözleşme kodlarından, verify fonksiyonunun imza doğrulama işleminde gönderenin adresini imza içeriğine dahil etmediği açıkça görülebilir. Ayrıca, sözleşme aynı imzanın birden fazla kez kullanılmasını önlemek için bir mekanizma da kurmamıştır. Bu güvenlik önlemleri, temel yazılım geliştirme bilgisi olmalıydı, ancak bu dikkat çekici projede göz ardı edilmiştir.
Sektör uzmanları bununla ilgili olarak şok ve endişe ifade ettiler. Bu kadar tanınmış bir projede bu seviyede bir güvenlik açığının ortaya çıkmasının inanılmaz olduğunu belirttiler. Bu, sadece proje ekibinin akıllı sözleşme geliştirme ve denetim konusundaki dikkatsizliğini ortaya çıkarmakla kalmıyor, aynı zamanda sektörün güvenlik uygulamaları konusunda hala kat etmesi gereken uzun bir yol olduğunu vurguluyor.
Bu olay, en büyük ve en güvenilir kurumların bile yeni teknoloji alanına girdiğinde temel hatalar yapabileceğini bir kez daha hatırlatıyor. Dijital koleksiyon pazarına katılanlar için bu, herhangi bir projeye katılmadan önce teknik temelleri ve güvenlik önlemlerini kapsamlı bir şekilde değerlendirmeleri gerektiğini gösteren bir uyarıdır.
Dijital koleksiyon pazarının sürekli genişlemesiyle birlikte, benzer güvenlik sorunlarının giderek daha fazla ifşa edilmesi olasıdır. Bu yalnızca proje sahiplerinin dikkatini artırmasını ve güvenlik denetimlerini güçlendirmesini değil, aynı zamanda tüm sektörün daha yüksek güvenlik standartları ve en iyi uygulamalar oluşturmasını da gerektirir. Ancak bu şekilde, kullanıcıların çıkarlarını gerçekten koruyabilir ve dijital koleksiyon pazarının sağlıklı gelişimini teşvik edebiliriz.