Недавно НБА выпустила серию цифровых коллекционных предметов, но вызывает беспокойство наличие серьезных уязвимостей в их контракте на продажу. Исследователи безопасности обнаружили, что злоумышленники могут использовать эту уязвимость для минтинга коллекционных предметов без каких-либо затрат и получать неправомерную выгоду от их продажи.
Корень этой уязвимости заключается в существовании угрозы безопасности проверки подписей пользователей из белого списка. Контракт не смог обеспечить уникальность и эксклюзивность подписей белого списка, что позволило злоумышленникам повторно использовать подписи других пользователей из белого списка для минтинга коллекционных предметов.
С технической точки зрения, в функции verify есть очевидные недостатки в дизайне. Она не включает адрес отправителя в процесс проверки подписи и лишена механизма предотвращения повторного использования подписи. Эти меры безопасности должны были быть основополагающими в разработке программного обеспечения, но в этом заметном проекте они были проигнорированы, что действительно шокирует.
!
Появление таких уязвимостей не только наносит ущерб интересам проектных команд, но и приносит негативное влияние на весь рынок цифровых коллекционных предметов. Это подчеркивает, что даже известные организации могут упустить из виду основные практики безопасности при разработке блокчейн-проектов. Это событие должно стать предупреждением для отрасли, напоминая разработчикам о необходимости особой осторожности при проектировании смарт-контрактов, особенно при обработке основных функций, связанных с активами и правами.
Чтобы предотвратить повторение подобных проблем, команде разработчиков следует усилить процесс аудита кода и ввести более строгие механизмы тестирования безопасности. Также рекомендуется, чтобы сторона проекта рассмотрела возможность найма сторонних экспертов по безопасности для проведения независимого аудита, чтобы гарантировать безопасность и надежность контрактов. Только так можно действительно защитить интересы пользователей и поддерживать здоровое развитие рынка цифровых коллекционных предметов.
!
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
5 Лайков
Награда
5
6
Репост
Поделиться
комментарий
0/400
FallingLeaf
· 08-10 20:30
Контракт такой низкий, что даже Разрешенный список не удаляется.
Посмотреть ОригиналОтветить0
IronHeadMiner
· 08-10 20:30
Это просто абсурд, контракт на минтинг даже не сделал разрешенный список.
Посмотреть ОригиналОтветить0
LiquidationWizard
· 08-10 20:28
Снова неудачники пришли на рынок.
Посмотреть ОригиналОтветить0
BridgeJumper
· 08-10 20:26
Разрешенный список проверка этот уровень 真菜
Посмотреть ОригиналОтветить0
TrustlessMaximalist
· 08-10 20:25
С таким уровнем они осмеливаются выпускать коллекционные предметы???
Посмотреть ОригиналОтветить0
OldLeekNewSickle
· 08-10 20:19
неудачники навсегда не смогут угадать, откуда придет следующий удар.
Уязвимость контракта на цифровые коллекционные предметы NBA может быть использована для бесплатного минтинга с целью получения прибыли
Недавно НБА выпустила серию цифровых коллекционных предметов, но вызывает беспокойство наличие серьезных уязвимостей в их контракте на продажу. Исследователи безопасности обнаружили, что злоумышленники могут использовать эту уязвимость для минтинга коллекционных предметов без каких-либо затрат и получать неправомерную выгоду от их продажи.
Корень этой уязвимости заключается в существовании угрозы безопасности проверки подписей пользователей из белого списка. Контракт не смог обеспечить уникальность и эксклюзивность подписей белого списка, что позволило злоумышленникам повторно использовать подписи других пользователей из белого списка для минтинга коллекционных предметов.
С технической точки зрения, в функции verify есть очевидные недостатки в дизайне. Она не включает адрес отправителя в процесс проверки подписи и лишена механизма предотвращения повторного использования подписи. Эти меры безопасности должны были быть основополагающими в разработке программного обеспечения, но в этом заметном проекте они были проигнорированы, что действительно шокирует.
!
Появление таких уязвимостей не только наносит ущерб интересам проектных команд, но и приносит негативное влияние на весь рынок цифровых коллекционных предметов. Это подчеркивает, что даже известные организации могут упустить из виду основные практики безопасности при разработке блокчейн-проектов. Это событие должно стать предупреждением для отрасли, напоминая разработчикам о необходимости особой осторожности при проектировании смарт-контрактов, особенно при обработке основных функций, связанных с активами и правами.
Чтобы предотвратить повторение подобных проблем, команде разработчиков следует усилить процесс аудита кода и ввести более строгие механизмы тестирования безопасности. Также рекомендуется, чтобы сторона проекта рассмотрела возможность найма сторонних экспертов по безопасности для проведения независимого аудита, чтобы гарантировать безопасность и надежность контрактов. Только так можно действительно защитить интересы пользователей и поддерживать здоровое развитие рынка цифровых коллекционных предметов.
!