НБА нещодавно випустила серію цифрових колекційних предметів, але викликає занепокоєння те, що в її контракті на продаж є серйозні вразливості. Дослідники з безпеки виявили, що злочинці можуть скористатися цією вразливістю, щоб мінтити колекційні предмети без будь-яких витрат і отримувати неправомірний прибуток від їх продажу.
Ця вразливість полягає в наявності проблеми безпеки у перевірці підписів користувачів зі списку білих. Контракт не зміг забезпечити унікальність та ексклюзивність підписів зі списку білих, що дозволило зловмисникам повторно використовувати підписи інших користувачів зі списку білих для мінтингу колекцій.
З технічної точки зору, функція verify має очевидні недоліки в дизайні. Вона не враховує адресу відправника в процесі перевірки підпису та не має механізму для запобігання повторному використанню підписів. Ці заходи безпеки мали б бути базовими знаннями в розробці програмного забезпечення, але в цьому помітному проекті вони були проігноровані, що дійсно шокує.
!
Поява таких проблем з безпекою не тільки завдає шкоди інтересам проекту, але й негативно впливає на весь ринок цифрових колекцій. Це підкреслює, що навіть відомі установи можуть упустити базові практики безпеки під час розробки блокчейн-проектів. Ця подія повинна стати попередженням для галузі, наголошуючи на необхідності особливої обережності розробників під час проектування смарт-контрактів, особливо при обробці основних функцій, що стосуються активів і прав.
Щоб запобігти повторенню подібних проблем, команді розробників слід посилити процеси аудиту коду та впровадити більш суворі механізми безпеки. Також рекомендується, щоб проектна команда розглянула можливість залучення третіх сторін безпекових експертів для незалежного аудиту, щоб забезпечити безпеку та надійність контракту. Лише так можна дійсно захистити інтереси користувачів та підтримати здоровий розвиток ринку цифрових колекцій.
!
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
5 лайків
Нагородити
5
6
Репост
Поділіться
Прокоментувати
0/400
FallingLeaf
· 12год тому
Контракт так низький, що навіть Дозволений список не очищується.
Переглянути оригіналвідповісти на0
IronHeadMiner
· 12год тому
Таке безглуздо, що навіть контракт на мінтинг не зроблено належним чином для Дозволеного списку.
Переглянути оригіналвідповісти на0
LiquidationWizard
· 12год тому
Знову невдахи зайшли на ринок
Переглянути оригіналвідповісти на0
BridgeJumper
· 12год тому
Дозволений список перевірка на такому рівні справді погано
Переглянути оригіналвідповісти на0
TrustlessMaximalist
· 12год тому
На такому рівні ще наважуються випускати колекційні предмети???
Переглянути оригіналвідповісти на0
OldLeekNewSickle
· 12год тому
невдахи ніколи не можуть вгадати, звідки прийде наступний удар
Вразливість контракту цифрових колекцій NBA може бути безкоштовно мінтингована для отримання прибутку
НБА нещодавно випустила серію цифрових колекційних предметів, але викликає занепокоєння те, що в її контракті на продаж є серйозні вразливості. Дослідники з безпеки виявили, що злочинці можуть скористатися цією вразливістю, щоб мінтити колекційні предмети без будь-яких витрат і отримувати неправомірний прибуток від їх продажу.
Ця вразливість полягає в наявності проблеми безпеки у перевірці підписів користувачів зі списку білих. Контракт не зміг забезпечити унікальність та ексклюзивність підписів зі списку білих, що дозволило зловмисникам повторно використовувати підписи інших користувачів зі списку білих для мінтингу колекцій.
З технічної точки зору, функція verify має очевидні недоліки в дизайні. Вона не враховує адресу відправника в процесі перевірки підпису та не має механізму для запобігання повторному використанню підписів. Ці заходи безпеки мали б бути базовими знаннями в розробці програмного забезпечення, але в цьому помітному проекті вони були проігноровані, що дійсно шокує.
!
Поява таких проблем з безпекою не тільки завдає шкоди інтересам проекту, але й негативно впливає на весь ринок цифрових колекцій. Це підкреслює, що навіть відомі установи можуть упустити базові практики безпеки під час розробки блокчейн-проектів. Ця подія повинна стати попередженням для галузі, наголошуючи на необхідності особливої обережності розробників під час проектування смарт-контрактів, особливо при обробці основних функцій, що стосуються активів і прав.
Щоб запобігти повторенню подібних проблем, команді розробників слід посилити процеси аудиту коду та впровадити більш суворі механізми безпеки. Також рекомендується, щоб проектна команда розглянула можливість залучення третіх сторін безпекових експертів для незалежного аудиту, щоб забезпечити безпеку та надійність контракту. Лише так можна дійсно захистити інтереси користувачів та підтримати здоровий розвиток ринку цифрових колекцій.
!