Hợp đồng sưu tập số NBA có lỗ hổng bảo mật nghiêm trọng
Gần đây, NBA đã ra mắt một loạt các bộ sưu tập kỹ thuật số, thu hút sự chú ý rộng rãi. Tuy nhiên, một số chuyên gia an ninh đã phát hiện ra một lỗ hổng lớn gây sốc khi xem xét hợp đồng bán hàng của nó. Lỗ hổng này có thể cho phép người dùng độc hại đúc bộ sưu tập mà không tốn chi phí, và thu lợi bất chính từ việc bán chúng.
Vấn đề cốt lõi nằm ở việc cơ chế xác minh chữ ký của hợp đồng đối với người dùng trong danh sách trắng có khuyết điểm. Hợp đồng không thực hiện hai biện pháp an ninh quan trọng: đảm bảo rằng chữ ký trong danh sách trắng chỉ có thể được sử dụng bởi người dùng cụ thể, và mỗi chữ ký chỉ có thể được sử dụng một lần. Điều này có nghĩa là kẻ tấn công có thể sử dụng lại chữ ký của người dùng khác trong danh sách trắng để đúc bộ sưu tập.
Từ mã hợp đồng công khai, có thể thấy rõ ràng rằng hàm verify khi thực hiện xác minh chữ ký không đưa địa chỉ người gửi vào nội dung chữ ký. Hơn nữa, hợp đồng cũng không thiết lập cơ chế để ngăn chặn việc sử dụng cùng một chữ ký nhiều lần. Những biện pháp an toàn này lẽ ra phải là kiến thức cơ bản trong phát triển phần mềm, nhưng lại bị bỏ qua trong dự án được chú ý này.
Các chuyên gia trong ngành bày tỏ sự sốc và lo ngại về điều này. Họ chỉ ra rằng việc xuất hiện lỗ hổng bảo mật ở mức độ này trong một dự án nổi tiếng như vậy là điều khó tin. Điều này không chỉ phơi bày sự cẩu thả của bên dự án trong việc phát triển và kiểm toán hợp đồng thông minh, mà còn làm nổi bật rằng toàn ngành vẫn còn một chặng đường dài trong các thực tiễn an toàn.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng, ngay cả những tổ chức lớn nhất và đáng tin cậy nhất cũng có thể mắc phải những sai lầm cơ bản khi tham gia vào lĩnh vực công nghệ mới. Đối với những người tham gia thị trường tài sản số, đây là một lời cảnh tỉnh: trước khi tham gia bất kỳ dự án nào, nhất định phải tiến hành đánh giá toàn diện về cơ sở kỹ thuật và các biện pháp an ninh của nó.
Khi thị trường tài sản kỹ thuật số ngày càng mở rộng, các vấn đề an ninh tương tự có thể ngày càng được phơi bày hơn. Điều này không chỉ yêu cầu các nhà dự án nâng cao cảnh giác, tăng cường kiểm toán an ninh, mà còn kêu gọi toàn ngành thiết lập các tiêu chuẩn an ninh cao hơn và các thực hành tốt nhất. Chỉ bằng cách này, mới có thể thực sự bảo vệ lợi ích của người dùng và thúc đẩy sự phát triển lành mạnh của thị trường tài sản kỹ thuật số.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
20 thích
Phần thưởng
20
6
Chia sẻ
Bình luận
0/400
gas_fee_therapy
· 07-21 20:57
Lỗ hổng xấu đến mức nổ tung
Xem bản gốcTrả lời0
YieldWhisperer
· 07-21 02:13
đã thấy chính xác lỗ hổng này vào năm 2021... an ninh như thời gian nghiệp dư thật sự
Xem bản gốcTrả lời0
Ramen_Until_Rich
· 07-20 22:08
Hợp đồng ngu ngốc, vậy mà còn dám ra mắt.
Xem bản gốcTrả lời0
Layer2Arbitrageur
· 07-18 23:21
lmao tưởng tượng không xác thực chữ ký đúng cách vào năm 2024... ngmi
Hợp đồng NFT NBA bị lộ lỗ hổng nghiêm trọng, người dùng độc hại có thể miễn phí đang đúc để thu lợi.
Hợp đồng sưu tập số NBA có lỗ hổng bảo mật nghiêm trọng
Gần đây, NBA đã ra mắt một loạt các bộ sưu tập kỹ thuật số, thu hút sự chú ý rộng rãi. Tuy nhiên, một số chuyên gia an ninh đã phát hiện ra một lỗ hổng lớn gây sốc khi xem xét hợp đồng bán hàng của nó. Lỗ hổng này có thể cho phép người dùng độc hại đúc bộ sưu tập mà không tốn chi phí, và thu lợi bất chính từ việc bán chúng.
Vấn đề cốt lõi nằm ở việc cơ chế xác minh chữ ký của hợp đồng đối với người dùng trong danh sách trắng có khuyết điểm. Hợp đồng không thực hiện hai biện pháp an ninh quan trọng: đảm bảo rằng chữ ký trong danh sách trắng chỉ có thể được sử dụng bởi người dùng cụ thể, và mỗi chữ ký chỉ có thể được sử dụng một lần. Điều này có nghĩa là kẻ tấn công có thể sử dụng lại chữ ký của người dùng khác trong danh sách trắng để đúc bộ sưu tập.
Từ mã hợp đồng công khai, có thể thấy rõ ràng rằng hàm verify khi thực hiện xác minh chữ ký không đưa địa chỉ người gửi vào nội dung chữ ký. Hơn nữa, hợp đồng cũng không thiết lập cơ chế để ngăn chặn việc sử dụng cùng một chữ ký nhiều lần. Những biện pháp an toàn này lẽ ra phải là kiến thức cơ bản trong phát triển phần mềm, nhưng lại bị bỏ qua trong dự án được chú ý này.
Các chuyên gia trong ngành bày tỏ sự sốc và lo ngại về điều này. Họ chỉ ra rằng việc xuất hiện lỗ hổng bảo mật ở mức độ này trong một dự án nổi tiếng như vậy là điều khó tin. Điều này không chỉ phơi bày sự cẩu thả của bên dự án trong việc phát triển và kiểm toán hợp đồng thông minh, mà còn làm nổi bật rằng toàn ngành vẫn còn một chặng đường dài trong các thực tiễn an toàn.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng, ngay cả những tổ chức lớn nhất và đáng tin cậy nhất cũng có thể mắc phải những sai lầm cơ bản khi tham gia vào lĩnh vực công nghệ mới. Đối với những người tham gia thị trường tài sản số, đây là một lời cảnh tỉnh: trước khi tham gia bất kỳ dự án nào, nhất định phải tiến hành đánh giá toàn diện về cơ sở kỹ thuật và các biện pháp an ninh của nó.
Khi thị trường tài sản kỹ thuật số ngày càng mở rộng, các vấn đề an ninh tương tự có thể ngày càng được phơi bày hơn. Điều này không chỉ yêu cầu các nhà dự án nâng cao cảnh giác, tăng cường kiểm toán an ninh, mà còn kêu gọi toàn ngành thiết lập các tiêu chuẩn an ninh cao hơn và các thực hành tốt nhất. Chỉ bằng cách này, mới có thể thực sự bảo vệ lợi ích của người dùng và thúc đẩy sự phát triển lành mạnh của thị trường tài sản kỹ thuật số.