أصدرت رابطة الدوري الوطني لكرة السلة (NBA) مؤخرًا مجموعة من المقتنيات الرقمية، ولكن ما يثير القلق هو وجود ثغرات خطيرة في عقود البيع الخاصة بها. اكتشف باحثو الأمان أن المجرمين يمكنهم استغلال هذه الثغرة لسك المقتنيات دون أي تكلفة، وتحقيق مكاسب غير مشروعة من خلال البيع.
تعود جذور هذه الثغرة إلى وجود ثغرات أمنية في التحقق من توقيع المستخدمين المدرجين في القائمة البيضاء. لم يتمكن العقد من ضمان فريدة وتخصص توقيع القائمة البيضاء، مما أدى إلى إمكانية استخدام المهاجمين لتوقيع مستخدمين آخرين في القائمة البيضاء لتشكيل التحف.
من الناحية التقنية، يحتوي تصميم دالة verify على عيوب واضحة. لم تأخذ عنوان المرسل في عملية التحقق من التوقيع، وتفتقر إلى آلية لمنع إعادة استخدام التوقيع. كان ينبغي أن تكون هذه التدابير الأمنية من البديهيات الأساسية في تطوير البرمجيات، لكنها تم تجاهلها في هذا المشروع الذي يحظى باهتمام كبير، مما يثير الدهشة حقًا.
!
إن ظهور مثل هذه الثغرات الأمنية لا يضر فقط بمصالح المشروع، بل يلحق أيضًا ضررًا بالسوق الرقمية للأصول. إنه يبرز أنه حتى المؤسسات المعروفة قد ترتكب إهمالًا في الممارسات الأمنية الأساسية أثناء تطوير مشاريع البلوكشين. يجب أن تكون هذه الحادثة بمثابة تحذير للصناعة، تذكيرًا للمطورين بضرورة توخي الحذر الشديد عند تصميم العقود الذكية، خاصة عند التعامل مع الوظائف الأساسية المتعلقة بالأصول والصلاحيات.
لمنع حدوث مشاكل مماثلة في المستقبل، يجب على فريق التطوير تعزيز عملية تدقيق الشيفرة، وإدخال آليات اختبار أمني أكثر صرامة. وفي الوقت نفسه، يُنصح أيضًا بأن ينظر المشروع في توظيف خبراء أمان مستقلين لإجراء مراجعة مستقلة، لضمان أمان العقود وموثوقيتها. فقط من خلال ذلك يمكن حماية مصالح المستخدمين حقًا، والحفاظ على التنمية الصحية لسوق المقتنيات الرقمية.
!
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 6
أعجبني
6
7
إعادة النشر
مشاركة
تعليق
0/400
ChainSherlockGirl
· منذ 6 س
مساعد تتبع ثغرات العقود قادم~ وفقًا لتحليلي لبيانات داخل السلسلة، تم استغلال قائمة السماح هذه بشكل كبير.
شاهد النسخة الأصليةرد0
FallingLeaf
· 08-10 20:30
العقد منخفض جدا، قائمة السماح لم يتم إزالتها بعد.
شاهد النسخة الأصليةرد0
IronHeadMiner
· 08-10 20:30
太离谱了 السك عقد قائمة السماح都没做好
شاهد النسخة الأصليةرد0
LiquidationWizard
· 08-10 20:28
又有حمقى进场了
شاهد النسخة الأصليةرد0
BridgeJumper
· 08-10 20:26
قائمة السماح تحقق هذا المستوى حقًا ضعيف
شاهد النسخة الأصليةرد0
TrustlessMaximalist
· 08-10 20:25
بهذا المستوى لا يزال يجرؤ على إصدار قطع فنية؟؟؟
شاهد النسخة الأصليةرد0
OldLeekNewSickle
· 08-10 20:19
لا يمكن أن يخمن الكراث أبدا من أين أتى السكين التالي
ثغرة في عقد مقتنيات NBA الرقمية يمكن استغلالها للتعدين المجاني وتحقيق الربح
أصدرت رابطة الدوري الوطني لكرة السلة (NBA) مؤخرًا مجموعة من المقتنيات الرقمية، ولكن ما يثير القلق هو وجود ثغرات خطيرة في عقود البيع الخاصة بها. اكتشف باحثو الأمان أن المجرمين يمكنهم استغلال هذه الثغرة لسك المقتنيات دون أي تكلفة، وتحقيق مكاسب غير مشروعة من خلال البيع.
تعود جذور هذه الثغرة إلى وجود ثغرات أمنية في التحقق من توقيع المستخدمين المدرجين في القائمة البيضاء. لم يتمكن العقد من ضمان فريدة وتخصص توقيع القائمة البيضاء، مما أدى إلى إمكانية استخدام المهاجمين لتوقيع مستخدمين آخرين في القائمة البيضاء لتشكيل التحف.
من الناحية التقنية، يحتوي تصميم دالة verify على عيوب واضحة. لم تأخذ عنوان المرسل في عملية التحقق من التوقيع، وتفتقر إلى آلية لمنع إعادة استخدام التوقيع. كان ينبغي أن تكون هذه التدابير الأمنية من البديهيات الأساسية في تطوير البرمجيات، لكنها تم تجاهلها في هذا المشروع الذي يحظى باهتمام كبير، مما يثير الدهشة حقًا.
!
إن ظهور مثل هذه الثغرات الأمنية لا يضر فقط بمصالح المشروع، بل يلحق أيضًا ضررًا بالسوق الرقمية للأصول. إنه يبرز أنه حتى المؤسسات المعروفة قد ترتكب إهمالًا في الممارسات الأمنية الأساسية أثناء تطوير مشاريع البلوكشين. يجب أن تكون هذه الحادثة بمثابة تحذير للصناعة، تذكيرًا للمطورين بضرورة توخي الحذر الشديد عند تصميم العقود الذكية، خاصة عند التعامل مع الوظائف الأساسية المتعلقة بالأصول والصلاحيات.
لمنع حدوث مشاكل مماثلة في المستقبل، يجب على فريق التطوير تعزيز عملية تدقيق الشيفرة، وإدخال آليات اختبار أمني أكثر صرامة. وفي الوقت نفسه، يُنصح أيضًا بأن ينظر المشروع في توظيف خبراء أمان مستقلين لإجراء مراجعة مستقلة، لضمان أمان العقود وموثوقيتها. فقط من خلال ذلك يمكن حماية مصالح المستخدمين حقًا، والحفاظ على التنمية الصحية لسوق المقتنيات الرقمية.
!