NBA baru-baru ini meluncurkan serangkaian koleksi digital, namun yang mengkhawatirkan adalah terdapat celah serius dalam kontrak penjualannya. Peneliti keamanan menemukan bahwa pelaku jahat dapat memanfaatkan celah ini untuk mencetak koleksi tanpa mengeluarkan biaya apa pun, dan mendapatkan keuntungan yang tidak semestinya melalui penjualan.
Akar dari celah ini terletak pada adanya risiko keamanan dalam verifikasi tanda tangan pengguna yang ada dalam daftar putih. Kontrak tidak dapat memastikan keunikan dan eksklusivitas tanda tangan dari daftar putih, yang menyebabkan penyerang dapat menggunakan kembali tanda tangan pengguna lain dalam daftar putih untuk pencetakan koleksi.
Dari sudut pandang teknis, fungsi verify memiliki kekurangan yang jelas dalam desainnya. Ia tidak memasukkan alamat pengirim dalam proses verifikasi tanda tangan dan juga kurang memiliki mekanisme untuk mencegah penggunaan ulang tanda tangan. Langkah-langkah keamanan ini seharusnya menjadi pengetahuan dasar dalam pengembangan perangkat lunak, namun diabaikan dalam proyek yang sangat diperhatikan ini, sungguh mengejutkan.
Kemunculan celah keamanan semacam ini tidak hanya merugikan kepentingan pihak proyek, tetapi juga membawa dampak negatif bagi seluruh pasar koleksi digital. Ini menyoroti bahwa dalam pengembangan proyek blockchain, bahkan lembaga-lembaga terkenal pun dapat mengabaikan praktik keamanan dasar. Peristiwa ini seharusnya menjadi peringatan bagi industri, mengingatkan pengembang untuk sangat berhati-hati saat merancang kontrak pintar, terutama dalam menangani fungsi inti yang melibatkan aset dan izin.
Untuk mencegah masalah serupa terjadi lagi, tim pengembang harus memperkuat proses audit kode, memperkenalkan mekanisme pengujian keamanan yang lebih ketat. Pada saat yang sama, disarankan agar pihak proyek mempertimbangkan untuk mempekerjakan ahli keamanan pihak ketiga untuk melakukan audit independen, untuk memastikan keamanan dan keandalan kontrak. Hanya dengan cara ini, kita dapat benar-benar melindungi kepentingan pengguna dan menjaga perkembangan sehat pasar koleksi digital.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
6 Suka
Hadiah
6
7
Posting ulang
Bagikan
Komentar
0/400
ChainSherlockGirl
· 5jam yang lalu
Kecil yang ahli dalam melacak celah kontrak datang~ Berdasarkan analisis data on-chain saya, Allowlist kali ini telah dimanfaatkan.
Lihat AsliBalas0
FallingLeaf
· 08-10 20:30
Kontrak seburuk ini bahkan tidak menghapus Allowlist.
Lihat AsliBalas0
IronHeadMiner
· 08-10 20:30
Terlalu berlebihan, kontrak pencetakan bahkan tidak membuat Allowlist.
Lihat AsliBalas0
LiquidationWizard
· 08-10 20:28
Sudah ada lagi suckers yang masuk.
Lihat AsliBalas0
BridgeJumper
· 08-10 20:26
Allowlist verifikasi tingkat ini benar-benar buruk
Lihat AsliBalas0
TrustlessMaximalist
· 08-10 20:25
Dengan kemampuan seperti ini masih berani mengeluarkan barang koleksi???
Lihat AsliBalas0
OldLeekNewSickle
· 08-10 20:19
suckers tidak pernah bisa menebak dari mana pisau berikutnya datang
Kekurangan kontrak koleksi digital NBA dapat dicetak gratis untuk mendapatkan keuntungan
NBA baru-baru ini meluncurkan serangkaian koleksi digital, namun yang mengkhawatirkan adalah terdapat celah serius dalam kontrak penjualannya. Peneliti keamanan menemukan bahwa pelaku jahat dapat memanfaatkan celah ini untuk mencetak koleksi tanpa mengeluarkan biaya apa pun, dan mendapatkan keuntungan yang tidak semestinya melalui penjualan.
Akar dari celah ini terletak pada adanya risiko keamanan dalam verifikasi tanda tangan pengguna yang ada dalam daftar putih. Kontrak tidak dapat memastikan keunikan dan eksklusivitas tanda tangan dari daftar putih, yang menyebabkan penyerang dapat menggunakan kembali tanda tangan pengguna lain dalam daftar putih untuk pencetakan koleksi.
Dari sudut pandang teknis, fungsi verify memiliki kekurangan yang jelas dalam desainnya. Ia tidak memasukkan alamat pengirim dalam proses verifikasi tanda tangan dan juga kurang memiliki mekanisme untuk mencegah penggunaan ulang tanda tangan. Langkah-langkah keamanan ini seharusnya menjadi pengetahuan dasar dalam pengembangan perangkat lunak, namun diabaikan dalam proyek yang sangat diperhatikan ini, sungguh mengejutkan.
Kemunculan celah keamanan semacam ini tidak hanya merugikan kepentingan pihak proyek, tetapi juga membawa dampak negatif bagi seluruh pasar koleksi digital. Ini menyoroti bahwa dalam pengembangan proyek blockchain, bahkan lembaga-lembaga terkenal pun dapat mengabaikan praktik keamanan dasar. Peristiwa ini seharusnya menjadi peringatan bagi industri, mengingatkan pengembang untuk sangat berhati-hati saat merancang kontrak pintar, terutama dalam menangani fungsi inti yang melibatkan aset dan izin.
Untuk mencegah masalah serupa terjadi lagi, tim pengembang harus memperkuat proses audit kode, memperkenalkan mekanisme pengujian keamanan yang lebih ketat. Pada saat yang sama, disarankan agar pihak proyek mempertimbangkan untuk mempekerjakan ahli keamanan pihak ketiga untuk melakukan audit independen, untuk memastikan keamanan dan keandalan kontrak. Hanya dengan cara ini, kita dapat benar-benar melindungi kepentingan pengguna dan menjaga perkembangan sehat pasar koleksi digital.