НБА нещодавно випустила серію цифрових колекційних предметів, але викликає занепокоєння те, що в її контракті на продаж є серйозні вразливості. Дослідники з безпеки виявили, що злочинці можуть скористатися цією вразливістю, щоб мінтити колекційні предмети без будь-яких витрат і отримувати неправомірний прибуток від їх продажу.
Ця вразливість полягає в наявності проблеми безпеки у перевірці підписів користувачів зі списку білих. Контракт не зміг забезпечити унікальність та ексклюзивність підписів зі списку білих, що дозволило зловмисникам повторно використовувати підписи інших користувачів зі списку білих для мінтингу колекцій.
З технічної точки зору, функція verify має очевидні недоліки в дизайні. Вона не враховує адресу відправника в процесі перевірки підпису та не має механізму для запобігання повторному використанню підписів. Ці заходи безпеки мали б бути базовими знаннями в розробці програмного забезпечення, але в цьому помітному проекті вони були проігноровані, що дійсно шокує.
!
Поява таких проблем з безпекою не тільки завдає шкоди інтересам проекту, але й негативно впливає на весь ринок цифрових колекцій. Це підкреслює, що навіть відомі установи можуть упустити базові практики безпеки під час розробки блокчейн-проектів. Ця подія повинна стати попередженням для галузі, наголошуючи на необхідності особливої обережності розробників під час проектування смарт-контрактів, особливо при обробці основних функцій, що стосуються активів і прав.
Щоб запобігти повторенню подібних проблем, команді розробників слід посилити процеси аудиту коду та впровадити більш суворі механізми безпеки. Також рекомендується, щоб проектна команда розглянула можливість залучення третіх сторін безпекових експертів для незалежного аудиту, щоб забезпечити безпеку та надійність контракту. Лише так можна дійсно захистити інтереси користувачів та підтримати здоровий розвиток ринку цифрових колекцій.
!
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
9
Репост
Поділіться
Прокоментувати
0/400
ForumMiningMaster
· 5год тому
Кліпові купони знову з'явилися, браття.
Переглянути оригіналвідповісти на0
HypotheticalLiquidator
· 6год тому
Базові контракти не написані належним чином, ця хвиля buidl призведе до паніки на ринку та ланцюгової реакції.
Переглянути оригіналвідповісти на0
ChainSherlockGirl
· 08-12 13:09
Контрактний вразливість трекер прийшов~ Згідно з моїм аналізом даних у блокчейні, дозволений список цього разу був обдертий.
Переглянути оригіналвідповісти на0
FallingLeaf
· 08-10 20:30
Контракт так низький, що навіть Дозволений список не очищується.
Переглянути оригіналвідповісти на0
IronHeadMiner
· 08-10 20:30
Таке безглуздо, що навіть контракт на мінтинг не зроблено належним чином для Дозволеного списку.
Переглянути оригіналвідповісти на0
LiquidationWizard
· 08-10 20:28
Знову невдахи зайшли на ринок
Переглянути оригіналвідповісти на0
BridgeJumper
· 08-10 20:26
Дозволений список перевірка на такому рівні справді погано
Переглянути оригіналвідповісти на0
TrustlessMaximalist
· 08-10 20:25
На такому рівні ще наважуються випускати колекційні предмети???
Переглянути оригіналвідповісти на0
OldLeekNewSickle
· 08-10 20:19
невдахи ніколи не можуть вгадати, звідки прийде наступний удар
Вразливість контракту цифрових колекцій NBA може бути безкоштовно мінтингована для отримання прибутку
НБА нещодавно випустила серію цифрових колекційних предметів, але викликає занепокоєння те, що в її контракті на продаж є серйозні вразливості. Дослідники з безпеки виявили, що злочинці можуть скористатися цією вразливістю, щоб мінтити колекційні предмети без будь-яких витрат і отримувати неправомірний прибуток від їх продажу.
Ця вразливість полягає в наявності проблеми безпеки у перевірці підписів користувачів зі списку білих. Контракт не зміг забезпечити унікальність та ексклюзивність підписів зі списку білих, що дозволило зловмисникам повторно використовувати підписи інших користувачів зі списку білих для мінтингу колекцій.
З технічної точки зору, функція verify має очевидні недоліки в дизайні. Вона не враховує адресу відправника в процесі перевірки підпису та не має механізму для запобігання повторному використанню підписів. Ці заходи безпеки мали б бути базовими знаннями в розробці програмного забезпечення, але в цьому помітному проекті вони були проігноровані, що дійсно шокує.
!
Поява таких проблем з безпекою не тільки завдає шкоди інтересам проекту, але й негативно впливає на весь ринок цифрових колекцій. Це підкреслює, що навіть відомі установи можуть упустити базові практики безпеки під час розробки блокчейн-проектів. Ця подія повинна стати попередженням для галузі, наголошуючи на необхідності особливої обережності розробників під час проектування смарт-контрактів, особливо при обробці основних функцій, що стосуються активів і прав.
Щоб запобігти повторенню подібних проблем, команді розробників слід посилити процеси аудиту коду та впровадити більш суворі механізми безпеки. Також рекомендується, щоб проектна команда розглянула можливість залучення третіх сторін безпекових експертів для незалежного аудиту, щоб забезпечити безпеку та надійність контракту. Лише так можна дійсно захистити інтереси користувачів та підтримати здоровий розвиток ринку цифрових колекцій.
!