NBA數字藏品合約漏洞 可被免費鑄造牟利

NBA近期推出了一系列數字藏品，但令人擔憂的是，其銷售合約中存在嚴重漏洞。安全研究人員發現，不法分子可以利用這一漏洞，在不付出任何成本的情況下鑄造藏品，並通過出售獲取不當利益。

這一漏洞的根源在於對白名單用戶的籤名驗證存在安全隱患。合約未能確保白名單籤名的唯一性和專屬性，導致攻擊者可以重復使用其他白名單用戶的籤名來鑄造藏品。

從技術角度分析，verify函數在設計上存在明顯缺陷。它沒有將發送者地址納入籤名驗證過程，也缺乏防止籤名重復使用的機制。這些安全措施本應是軟件開發中的基本常識，卻在這個備受矚目的項目中被忽視，着實令人震驚。

此類安全漏洞的出現，不僅損害了項目方的利益，也給整個數字藏品市場帶來了負面影響。它凸顯了在區塊鏈項目開發中，即使是知名機構也可能在基礎安全實踐上出現疏忽。這一事件應該成爲業界的警示，提醒開發者在設計智能合約時必須格外謹慎，尤其是在處理涉及資產和權限的核心功能時。

爲防止類似問題再次發生，開發團隊應該加強代碼審計流程，引入更嚴格的安全測試機制。同時，也建議項目方考慮聘請第三方安全專家進行獨立審核，以確保合約的安全性和可靠性。只有這樣，才能真正保護用戶利益，維護數字藏品市場的健康發展。