NBA gần đây đã cho ra mắt một loạt các bộ sưu tập kỹ thuật số, nhưng điều đáng lo ngại là trong hợp đồng bán hàng của họ có những lỗ hổng nghiêm trọng. Các nhà nghiên cứu an ninh phát hiện ra rằng tội phạm có thể lợi dụng lỗ hổng này để đang đúc bộ sưu tập mà không phải chịu bất kỳ chi phí nào, và thu lợi bất chính từ việc bán chúng.
Nguồn gốc của lỗ hổng này là do sự thiếu an toàn trong việc xác thực chữ ký của người dùng trong danh sách trắng. Hợp đồng không đảm bảo tính duy nhất và tính đặc thù của chữ ký trong danh sách trắng, dẫn đến việc kẻ tấn công có thể tái sử dụng chữ ký của người dùng khác trong danh sách trắng để đang đúc các bộ sưu tập.
Từ góc độ kỹ thuật mà phân tích, hàm verify có những thiếu sót rõ ràng trong thiết kế. Nó không đưa địa chỉ của người gửi vào quy trình xác thực chữ ký, và cũng thiếu cơ chế ngăn chặn việc sử dụng lại chữ ký. Những biện pháp an toàn này lẽ ra phải là kiến thức cơ bản trong phát triển phần mềm, nhưng lại bị bỏ qua trong dự án được chú ý này, thật sự gây sốc.
Sự xuất hiện của những lỗ hổng bảo mật như vậy không chỉ gây hại cho lợi ích của các bên dự án mà còn mang lại tác động tiêu cực cho toàn bộ thị trường tài sản số. Nó làm nổi bật rằng trong quá trình phát triển dự án blockchain, ngay cả những tổ chức nổi tiếng cũng có thể bỏ qua các thực hành bảo mật cơ bản. Sự kiện này nên trở thành một lời cảnh tỉnh cho ngành, nhắc nhở các nhà phát triển phải đặc biệt cẩn trọng khi thiết kế hợp đồng thông minh, đặc biệt là khi xử lý các chức năng cốt lõi liên quan đến tài sản và quyền hạn.
Để ngăn chặn việc xảy ra những vấn đề tương tự, đội ngũ phát triển nên tăng cường quy trình kiểm tra mã, áp dụng cơ chế kiểm tra an ninh nghiêm ngặt hơn. Đồng thời, cũng khuyến nghị bên dự án xem xét việc thuê chuyên gia an ninh bên thứ ba để thực hiện kiểm tra độc lập, nhằm đảm bảo tính an toàn và độ tin cậy của hợp đồng. Chỉ có như vậy, mới có thể thật sự bảo vệ lợi ích của người dùng, duy trì sự phát triển lành mạnh của thị trường tài sản số.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
6 thích
Phần thưởng
6
7
Đăng lại
Chia sẻ
Bình luận
0/400
ChainSherlockGirl
· 08-12 13:09
Công cụ theo dõi lỗ hổng hợp đồng đã đến~ Theo phân tích dữ liệu trên chuỗi của tôi, danh sách cho phép lần này đã bị khai thác.
Xem bản gốcTrả lời0
FallingLeaf
· 08-10 20:30
Hợp đồng thấp như vậy mà cũng không xóa được danh sách cho phép.
Xem bản gốcTrả lời0
IronHeadMiner
· 08-10 20:30
Thật không thể tin được, hợp đồng đang đúc mà ngay cả danh sách cho phép cũng không làm tốt.
Xem bản gốcTrả lời0
LiquidationWizard
· 08-10 20:28
Lại có đồ ngốc vào sân rồi
Xem bản gốcTrả lời0
BridgeJumper
· 08-10 20:26
Danh sách cho phép xác thực mức độ này thật tệ
Xem bản gốcTrả lời0
TrustlessMaximalist
· 08-10 20:25
Với trình độ này mà còn dám phát hành sản phẩm sao???
Lỗ hổng hợp đồng trong bộ sưu tập số NBA có thể được đang đúc miễn phí để kiếm lợi
NBA gần đây đã cho ra mắt một loạt các bộ sưu tập kỹ thuật số, nhưng điều đáng lo ngại là trong hợp đồng bán hàng của họ có những lỗ hổng nghiêm trọng. Các nhà nghiên cứu an ninh phát hiện ra rằng tội phạm có thể lợi dụng lỗ hổng này để đang đúc bộ sưu tập mà không phải chịu bất kỳ chi phí nào, và thu lợi bất chính từ việc bán chúng.
Nguồn gốc của lỗ hổng này là do sự thiếu an toàn trong việc xác thực chữ ký của người dùng trong danh sách trắng. Hợp đồng không đảm bảo tính duy nhất và tính đặc thù của chữ ký trong danh sách trắng, dẫn đến việc kẻ tấn công có thể tái sử dụng chữ ký của người dùng khác trong danh sách trắng để đang đúc các bộ sưu tập.
Từ góc độ kỹ thuật mà phân tích, hàm verify có những thiếu sót rõ ràng trong thiết kế. Nó không đưa địa chỉ của người gửi vào quy trình xác thực chữ ký, và cũng thiếu cơ chế ngăn chặn việc sử dụng lại chữ ký. Những biện pháp an toàn này lẽ ra phải là kiến thức cơ bản trong phát triển phần mềm, nhưng lại bị bỏ qua trong dự án được chú ý này, thật sự gây sốc.
Sự xuất hiện của những lỗ hổng bảo mật như vậy không chỉ gây hại cho lợi ích của các bên dự án mà còn mang lại tác động tiêu cực cho toàn bộ thị trường tài sản số. Nó làm nổi bật rằng trong quá trình phát triển dự án blockchain, ngay cả những tổ chức nổi tiếng cũng có thể bỏ qua các thực hành bảo mật cơ bản. Sự kiện này nên trở thành một lời cảnh tỉnh cho ngành, nhắc nhở các nhà phát triển phải đặc biệt cẩn trọng khi thiết kế hợp đồng thông minh, đặc biệt là khi xử lý các chức năng cốt lõi liên quan đến tài sản và quyền hạn.
Để ngăn chặn việc xảy ra những vấn đề tương tự, đội ngũ phát triển nên tăng cường quy trình kiểm tra mã, áp dụng cơ chế kiểm tra an ninh nghiêm ngặt hơn. Đồng thời, cũng khuyến nghị bên dự án xem xét việc thuê chuyên gia an ninh bên thứ ba để thực hiện kiểm tra độc lập, nhằm đảm bảo tính an toàn và độ tin cậy của hợp đồng. Chỉ có như vậy, mới có thể thật sự bảo vệ lợi ích của người dùng, duy trì sự phát triển lành mạnh của thị trường tài sản số.