Le contrat des collectibles numériques de la NBA présente une vulnérabilité majeure, la vérification de la signature de l'Allowlist présente des défauts.
La NBA a récemment lancé des collections numériques, mais ce qui est préoccupant, c'est qu'il existe des vulnérabilités majeures dans leur contrat de vente. Des chercheurs en sécurité ont découvert que des utilisateurs malveillants pouvaient exploiter cette vulnérabilité pour minting des objets de collection sans avoir à payer quoi que ce soit, et en tirer des bénéfices indus en les vendant.
La source de cette vulnérabilité de sécurité réside dans un défaut du mécanisme de vérification des signatures des utilisateurs sur la liste blanche par le contrat. Plus précisément, le contrat n'a pas réussi à garantir que les signatures de la liste blanche soient réservées à des utilisateurs spécifiques, et que chaque signature ne puisse être utilisée qu'une seule fois. Cela a permis aux attaquants de réutiliser les signatures d'autres utilisateurs de la liste blanche pour le minting de collections.
D'après l'analyse du code du contrat, on peut voir que la fonction verify ne prend pas en compte l'adresse de l'initiateur de la transaction dans le contenu de la signature lors de la vérification. De plus, le contrat n'a pas mis en place de mécanisme pour empêcher la réutilisation des signatures. Ces mesures de sécurité devraient être des connaissances de base dans le développement de logiciels, mais elles ont été négligées dans un projet aussi connu, ce qui est incroyable.
Cet événement met en évidence que, même les grandes organisations peuvent négliger des pratiques de sécurité fondamentales lors du développement de projets blockchain. Il nous rappelle qu'il est crucial de porter une attention particulière aux détails de sécurité lors de la conception de contrats intelligents, en particulier lorsqu'il s'agit de gérer les droits des utilisateurs et la validation des transactions. En même temps, cela souligne l'importance de réaliser un audit de sécurité complet et professionnel avant le lancement du projet, afin d'éviter que des vulnérabilités similaires n'entraînent des pertes potentielles pour les utilisateurs et le projet.
Pour les participants de l'industrie de la blockchain, ce cas est un avertissement : quelle que soit l'échelle du projet, il ne faut jamais négliger les principes de sécurité fondamentaux. L'équipe de développement doit continuer à apprendre et à mettre à jour ses connaissances en matière de sécurité, et appliquer strictement des contrôles de sécurité à chaque étape du projet. En même temps, les utilisateurs doivent également rester vigilants lorsqu'ils participent à tout projet de blockchain, comprendre les risques potentiels et choisir des plateformes ayant subi des audits de sécurité rigoureux pour interagir.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
8
Reposter
Partager
Commentaire
0/400
OnchainFortuneTeller
· 07-27 01:03
Allowlist ne vérifie pas la signature, ce QI est préoccupant.
Voir l'originalRépondre0
RugPullAlarm
· 07-26 15:17
Cet argent va finalement vers le mélangeur Tornado, il doit y avoir de grandes choses.
Voir l'originalRépondre0
WhaleWatcher
· 07-24 17:47
Cet QI a payé une taxe sur le QI.
Voir l'originalRépondre0
CodeAuditQueen
· 07-24 06:13
Les discours habituels sur la reprise de signatures sont de retour. Est-ce que tout le monde dort pendant la vérification ?
Voir l'originalRépondre0
AirdropSweaterFan
· 07-24 06:06
Vous ne savez même pas écrire de mécanismes de signature ? Un vrai débutant.
Voir l'originalRépondre0
AirdropChaser
· 07-24 05:56
Il veut encore gagner de l'argent sur moi ? Je vois à travers son piège.
Voir l'originalRépondre0
ChainWatcher
· 07-24 05:51
Les contrats ne sont-ils pas d'abord audités ? C'est vraiment absurde.
Voir l'originalRépondre0
RetailTherapist
· 07-24 05:49
Un si grand projet a également été exploité, sa grand-mère.
Le contrat des collectibles numériques de la NBA présente une vulnérabilité majeure, la vérification de la signature de l'Allowlist présente des défauts.
La NBA a récemment lancé des collections numériques, mais ce qui est préoccupant, c'est qu'il existe des vulnérabilités majeures dans leur contrat de vente. Des chercheurs en sécurité ont découvert que des utilisateurs malveillants pouvaient exploiter cette vulnérabilité pour minting des objets de collection sans avoir à payer quoi que ce soit, et en tirer des bénéfices indus en les vendant.
La source de cette vulnérabilité de sécurité réside dans un défaut du mécanisme de vérification des signatures des utilisateurs sur la liste blanche par le contrat. Plus précisément, le contrat n'a pas réussi à garantir que les signatures de la liste blanche soient réservées à des utilisateurs spécifiques, et que chaque signature ne puisse être utilisée qu'une seule fois. Cela a permis aux attaquants de réutiliser les signatures d'autres utilisateurs de la liste blanche pour le minting de collections.
D'après l'analyse du code du contrat, on peut voir que la fonction verify ne prend pas en compte l'adresse de l'initiateur de la transaction dans le contenu de la signature lors de la vérification. De plus, le contrat n'a pas mis en place de mécanisme pour empêcher la réutilisation des signatures. Ces mesures de sécurité devraient être des connaissances de base dans le développement de logiciels, mais elles ont été négligées dans un projet aussi connu, ce qui est incroyable.
Cet événement met en évidence que, même les grandes organisations peuvent négliger des pratiques de sécurité fondamentales lors du développement de projets blockchain. Il nous rappelle qu'il est crucial de porter une attention particulière aux détails de sécurité lors de la conception de contrats intelligents, en particulier lorsqu'il s'agit de gérer les droits des utilisateurs et la validation des transactions. En même temps, cela souligne l'importance de réaliser un audit de sécurité complet et professionnel avant le lancement du projet, afin d'éviter que des vulnérabilités similaires n'entraînent des pertes potentielles pour les utilisateurs et le projet.
Pour les participants de l'industrie de la blockchain, ce cas est un avertissement : quelle que soit l'échelle du projet, il ne faut jamais négliger les principes de sécurité fondamentaux. L'équipe de développement doit continuer à apprendre et à mettre à jour ses connaissances en matière de sécurité, et appliquer strictement des contrôles de sécurité à chaque étape du projet. En même temps, les utilisateurs doivent également rester vigilants lorsqu'ils participent à tout projet de blockchain, comprendre les risques potentiels et choisir des plateformes ayant subi des audits de sécurité rigoureux pour interagir.