NBA, yakın zamanda bir dizi dijital koleksiyon ürünü piyasaya sürdü, ancak endişe verici olan, satış sözleşmelerinde ciddi açıkların bulunması. Güvenlik araştırmacıları, kötü niyetli kişilerin bu açığı kullanarak hiçbir maliyet ödemeden koleksiyon ürünleri mintleme yapabileceğini ve bunları satarak haksız kazanç elde edebileceğini keşfetti.
Bu açığın kaynağı, beyaz liste kullanıcılarının imza doğrulamasında bir güvenlik açığı bulunmasındadır. Sözleşme, beyaz liste imzalarının benzersizliğini ve özel olmasını garanti edemediğinden, saldırganlar diğer beyaz liste kullanıcılarının imzalarını tekrar kullanarak koleksiyonlar mintleme yapabilir.
Teknik açıdan bakıldığında, verify fonksiyonunun tasarımında belirgin bir eksiklik bulunmaktadır. Gönderen adresini imza doğrulama sürecine dahil etmemekte ve imzanın tekrar kullanımını önleyen bir mekanizmaya sahip değildir. Bu güvenlik önlemleri yazılım geliştirme sürecinde temel bir bilgi olmalıydı, ancak bu dikkat çekici projede göz ardı edilmiştir, bu gerçekten de şok edici.
Bu tür güvenlik açıklarının ortaya çıkması, yalnızca proje sahiplerinin çıkarlarını zedelemekle kalmayıp, aynı zamanda tüm dijital koleksiyon pazarına da olumsuz etki yapmıştır. Bu durum, blockchain projeleri geliştirilirken, tanınmış kuruluşların bile temel güvenlik uygulamalarında dikkatsizlik gösterebileceğini vurgulamaktadır. Bu olay, sektörde bir uyarı olmalı ve geliştiricilere akıllı sözleşme tasarlarken özellikle varlıklar ve izinlerle ilgili temel işlevleri ele alırken son derece dikkatli olmaları gerektiğini hatırlatmalıdır.
Benzer sorunların tekrar yaşanmaması için, geliştirme ekibinin kod denetim süreçlerini güçlendirmesi, daha katı güvenlik test mekanizmaları getirmesi gerekmektedir. Aynı zamanda, proje sahiplerinin akıllı sözleşmelerin güvenliğini ve güvenilirliğini sağlamak için bağımsız denetim yapması amacıyla üçüncü taraf güvenlik uzmanlarını işe almayı düşünmeleri önerilmektedir. Ancak bu şekilde, kullanıcı çıkarlarını gerçekten koruyabilir ve dijital koleksiyon pazarı sağlıklı bir şekilde gelişmeye devam edebilir.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
5 Likes
Reward
5
6
Repost
Share
Comment
0/400
FallingLeaf
· 17h ago
Sözleşme bu kadar düşük, izin listesini bile temizlemiyor.
View OriginalReply0
IronHeadMiner
· 17h ago
Bu kadar saçmalık olmaz, mintleme sözleşmesi izin listesini bile düzgün yapmadı.
View OriginalReply0
LiquidationWizard
· 17h ago
Yine enayiler sahaya girdi.
View OriginalReply0
BridgeJumper
· 17h ago
İzin listesi doğrulaması bu seviye gerçekten kötü.
View OriginalReply0
TrustlessMaximalist
· 17h ago
Bu seviyede hala eser mi çıkarıyorsunuz???
View OriginalReply0
OldLeekNewSickle
· 17h ago
enayiler bir sonraki hamlenin nereden geleceğini asla tahmin edemez.
NBA dijital koleksiyon ürünleri sözleşmesindeki açık, ücretsiz mintleme ile kar sağlamak için kullanılabilir.
NBA, yakın zamanda bir dizi dijital koleksiyon ürünü piyasaya sürdü, ancak endişe verici olan, satış sözleşmelerinde ciddi açıkların bulunması. Güvenlik araştırmacıları, kötü niyetli kişilerin bu açığı kullanarak hiçbir maliyet ödemeden koleksiyon ürünleri mintleme yapabileceğini ve bunları satarak haksız kazanç elde edebileceğini keşfetti.
Bu açığın kaynağı, beyaz liste kullanıcılarının imza doğrulamasında bir güvenlik açığı bulunmasındadır. Sözleşme, beyaz liste imzalarının benzersizliğini ve özel olmasını garanti edemediğinden, saldırganlar diğer beyaz liste kullanıcılarının imzalarını tekrar kullanarak koleksiyonlar mintleme yapabilir.
Teknik açıdan bakıldığında, verify fonksiyonunun tasarımında belirgin bir eksiklik bulunmaktadır. Gönderen adresini imza doğrulama sürecine dahil etmemekte ve imzanın tekrar kullanımını önleyen bir mekanizmaya sahip değildir. Bu güvenlik önlemleri yazılım geliştirme sürecinde temel bir bilgi olmalıydı, ancak bu dikkat çekici projede göz ardı edilmiştir, bu gerçekten de şok edici.
Bu tür güvenlik açıklarının ortaya çıkması, yalnızca proje sahiplerinin çıkarlarını zedelemekle kalmayıp, aynı zamanda tüm dijital koleksiyon pazarına da olumsuz etki yapmıştır. Bu durum, blockchain projeleri geliştirilirken, tanınmış kuruluşların bile temel güvenlik uygulamalarında dikkatsizlik gösterebileceğini vurgulamaktadır. Bu olay, sektörde bir uyarı olmalı ve geliştiricilere akıllı sözleşme tasarlarken özellikle varlıklar ve izinlerle ilgili temel işlevleri ele alırken son derece dikkatli olmaları gerektiğini hatırlatmalıdır.
Benzer sorunların tekrar yaşanmaması için, geliştirme ekibinin kod denetim süreçlerini güçlendirmesi, daha katı güvenlik test mekanizmaları getirmesi gerekmektedir. Aynı zamanda, proje sahiplerinin akıllı sözleşmelerin güvenliğini ve güvenilirliğini sağlamak için bağımsız denetim yapması amacıyla üçüncü taraf güvenlik uzmanlarını işe almayı düşünmeleri önerilmektedir. Ancak bu şekilde, kullanıcı çıkarlarını gerçekten koruyabilir ve dijital koleksiyon pazarı sağlıklı bir şekilde gelişmeye devam edebilir.