Недавно НБА запустила цифровые коллекционные предметы, но вызывает беспокойство тот факт, что в их контракте на продажу есть серьезные уязвимости. Исследователи безопасности обнаружили, что злоумышленники могут воспользоваться этой уязвимостью, чтобы минтинговать коллекционные предметы без каких-либо затрат и получать незаконную прибыль от их продажи.
Корень этой уязвимости безопасности заключается в недостатках механизма проверки подписей пользователей из белого списка в контракте. В частности, контракт не гарантирует, что подписи белого списка могут использоваться только определенными пользователями, и каждая подпись может быть использована только один раз. Это позволяет злоумышленникам повторно использовать подписи других пользователей белого списка для минтинга коллекционных предметов.
Из анализа кода контракта видно, что функция verify не включает адрес инициатора транзакции в содержимое подписи при проверке подписи. Кроме того, контракт не реализует механизм предотвращения повторного использования подписи. Эти меры безопасности должны быть основополагающими знаниями в разработке программного обеспечения, но они были проигнорированы в таком известном проекте, что трудно поверить.
!
Это событие подчеркивает, что даже крупные организации могут игнорировать основные практики безопасности в процессе разработки блокчейн-проектов. Оно напоминает нам, что при проектировании смарт-контрактов необходимо уделять особое внимание деталям безопасности, особенно при обработке прав пользователей и проверке транзакций. В то же время это также подчеркивает важность проведения всестороннего и профессионального аудита безопасности перед запуском проекта, чтобы избежать потенциальных убытков для пользователей и проекта из-за подобных уязвимостей.
Для участников блокчейн-индустрии этот случай является предупреждением: независимо от масштаба проекта, нельзя игнорировать основные принципы безопасности. Команда разработчиков должна постоянно обучаться и обновлять свои знания в области безопасности, а также строго проводить проверки безопасности на всех этапах проекта. В то же время пользователи, участвуя в любом блокчейн-проекте, также должны быть насторожены, осознавать потенциальные риски и выбирать платформы, прошедшие строгую проверку безопасности для взаимодействия.
!
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
9 Лайков
Награда
9
8
Репост
Поделиться
комментарий
0/400
OnchainFortuneTeller
· 07-27 01:03
Разрешенный список не проверяет подпись, это вызывает беспокойство по поводу интеллекта.
Посмотреть ОригиналОтветить0
RugPullAlarm
· 07-26 15:17
Эти деньги в конечном итоге направятся к торнадо-миксеру, обязательно произойдет что-то большое.
Посмотреть ОригиналОтветить0
WhaleWatcher
· 07-24 17:47
Этот IQ заплатил налог на IQ.
Посмотреть ОригиналОтветить0
CodeAuditQueen
· 07-24 06:13
Старые разговоры о повторном использовании подписей снова вернулись. Разве на проверке все спят?
Посмотреть ОригиналОтветить0
AirdropSweaterFan
· 07-24 06:06
Вы даже не можете написать механизм подписи? Похоже, вы новичок.
Посмотреть ОригиналОтветить0
AirdropChaser
· 07-24 05:56
Он всё ещё хочет заработать мои деньги? Ловушка была мной раскрыта.
В контракте на цифровые коллекционные предметы NBA обнаружена серьезная уязвимость. Верификация подписей в Разрешенном списке имеет недостатки.
Недавно НБА запустила цифровые коллекционные предметы, но вызывает беспокойство тот факт, что в их контракте на продажу есть серьезные уязвимости. Исследователи безопасности обнаружили, что злоумышленники могут воспользоваться этой уязвимостью, чтобы минтинговать коллекционные предметы без каких-либо затрат и получать незаконную прибыль от их продажи.
Корень этой уязвимости безопасности заключается в недостатках механизма проверки подписей пользователей из белого списка в контракте. В частности, контракт не гарантирует, что подписи белого списка могут использоваться только определенными пользователями, и каждая подпись может быть использована только один раз. Это позволяет злоумышленникам повторно использовать подписи других пользователей белого списка для минтинга коллекционных предметов.
Из анализа кода контракта видно, что функция verify не включает адрес инициатора транзакции в содержимое подписи при проверке подписи. Кроме того, контракт не реализует механизм предотвращения повторного использования подписи. Эти меры безопасности должны быть основополагающими знаниями в разработке программного обеспечения, но они были проигнорированы в таком известном проекте, что трудно поверить.
!
Это событие подчеркивает, что даже крупные организации могут игнорировать основные практики безопасности в процессе разработки блокчейн-проектов. Оно напоминает нам, что при проектировании смарт-контрактов необходимо уделять особое внимание деталям безопасности, особенно при обработке прав пользователей и проверке транзакций. В то же время это также подчеркивает важность проведения всестороннего и профессионального аудита безопасности перед запуском проекта, чтобы избежать потенциальных убытков для пользователей и проекта из-за подобных уязвимостей.
Для участников блокчейн-индустрии этот случай является предупреждением: независимо от масштаба проекта, нельзя игнорировать основные принципы безопасности. Команда разработчиков должна постоянно обучаться и обновлять свои знания в области безопасности, а также строго проводить проверки безопасности на всех этапах проекта. В то же время пользователи, участвуя в любом блокчейн-проекте, также должны быть насторожены, осознавать потенциальные риски и выбирать платформы, прошедшие строгую проверку безопасности для взаимодействия.
!