NBAデジタルコレクションアイテムの契約に重大な脆弱性が発生しました。許可リストの署名検証に欠陥があります。

NBAは最近、デジタルコレクションを発表しましたが、懸念すべきことに、その販売契約には重大な脆弱性が存在しています。セキュリティ研究者は、悪意のあるユーザーがこの脆弱性を利用して、費用を支払うことなくコレクションをミンティングし、販売によって不当な利益を得ることができることを発見しました。

このセキュリティリスクの根源は、契約のホワイトリストユーザー署名の検証メカニズムに欠陥があることです。具体的には、契約はホワイトリストの署名が特定のユーザーのみが使用できることを保証しておらず、各署名は一度しか使用できないことを確保していません。これにより、攻撃者は他のホワイトリストユーザーの署名を再利用してコレクションをミンティングすることができるのです。

契約コードの分析からわかるように、verify関数は署名を検証する際に取引の発起者のアドレスを署名内容に含めていません。また、契約は署名の再使用を防ぐメカニズムも実装していません。これらのセキュリティ対策はソフトウェア開発における基本的な知識であるべきですが、こんなにも有名なプロジェクトで無視されていることは信じがたいことです。

!

この出来事は、ブロックチェーンプロジェクトの開発過程において、大規模な組織でさえ基本的なセキュリティプラクティスを無視する可能性があることを浮き彫りにしています。それは、スマートコントラクトを設計する際には、特にユーザー権限や取引の検証を扱う際に、セキュリティの詳細に特別な注意を払う必要があることを私たちに思い出させます。また、これは、プロジェクトの立ち上げ前に包括的かつ専門的なセキュリティ監査を行う重要性を強調しており、類似の脆弱性がユーザーやプロジェクトに潜在的な損失をもたらすのを避けるためです。

ブロックチェーン業界の参加者にとって、このケースは警告です：プロジェクトの規模に関わらず、基本的なセキュリティ原則を無視してはいけません。開発チームは、セキュリティ知識を継続的に学び更新し、プロジェクトの各段階で厳格にセキュリティチェックを実施するべきです。同時に、ユーザーはどのブロックチェーンプロジェクトに参加する際も警戒を怠らず、潜在的なリスクを理解し、厳格なセキュリティ監査を受けたプラットフォームとのインタラクションを選択すべきです。

!