NBA baru-baru ini meluncurkan koleksi digital, tetapi yang mengkhawatirkan adalah terdapat celah besar dalam kontrak penjualannya. Peneliti keamanan menemukan bahwa pengguna jahat dapat memanfaatkan celah ini untuk mencetak koleksi tanpa membayar biaya apa pun dan mendapatkan keuntungan tidak sah melalui penjualan.
Sumber dari risiko keamanan ini terletak pada mekanisme verifikasi tanda tangan pengguna daftar putih yang terdapat dalam kontrak. Secara spesifik, kontrak gagal memastikan bahwa tanda tangan daftar putih hanya dapat digunakan oleh pengguna tertentu, dan setiap tanda tangan hanya dapat digunakan sekali. Hal ini menyebabkan penyerang dapat menggunakan kembali tanda tangan pengguna daftar putih lainnya untuk pencetakan koleksi.
Dari analisis kode kontrak, dapat dilihat bahwa fungsi verify tidak memasukkan alamat pengirim transaksi dalam konten tanda tangan saat memverifikasi tanda tangan. Selain itu, kontrak juga tidak mengimplementasikan mekanisme untuk mencegah penggunaan ulang tanda tangan. Langkah-langkah keamanan ini seharusnya menjadi pengetahuan dasar dalam pengembangan perangkat lunak, tetapi diabaikan dalam proyek yang begitu terkenal, yang sulit dipercaya.
Peristiwa ini menyoroti bahwa dalam proses pengembangan proyek blockchain, bahkan organisasi besar pun dapat mengabaikan praktik keamanan dasar. Ini mengingatkan kita bahwa saat merancang kontrak pintar, kita harus sangat memperhatikan detail keamanan, terutama saat menangani izin pengguna dan verifikasi transaksi. Selain itu, ini juga menekankan pentingnya melakukan audit keamanan yang komprehensif dan profesional sebelum proyek diluncurkan, untuk menghindari kerentanan serupa yang dapat menyebabkan kerugian potensial bagi pengguna dan proyek.
Bagi para pelaku industri blockchain, kasus ini adalah peringatan: tidak peduli seberapa besar skala proyek, prinsip keamanan dasar tidak boleh diabaikan. Tim pengembang harus terus belajar dan memperbarui pengetahuan keamanan, serta melaksanakan pemeriksaan keamanan secara ketat di setiap tahap proyek. Pada saat yang sama, pengguna harus tetap waspada saat berpartisipasi dalam proyek blockchain mana pun, memahami risiko potensial, dan memilih platform yang telah menjalani audit keamanan yang ketat untuk berinteraksi.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
9 Suka
Hadiah
9
8
Bagikan
Komentar
0/400
OnchainFortuneTeller
· 07-27 01:03
Allowlist tidak memverifikasi tanda tangan, ini sangat meragukan.
Lihat AsliBalas0
RugPullAlarm
· 07-26 15:17
Uang ini akhirnya mengalir ke Tornado Mixer, pasti ada hal besar yang akan terjadi.
Lihat AsliBalas0
WhaleWatcher
· 07-24 17:47
IQ ini membayar pajak IQ.
Lihat AsliBalas0
CodeAuditQueen
· 07-24 06:13
Pembicaraan lama tentang replay tanda tangan muncul lagi. Apakah semua orang sedang tidur saat pemeriksaan?
Lihat AsliBalas0
AirdropSweaterFan
· 07-24 06:06
Apakah kamu tidak tahu cara menulis mekanisme tanda tangan? Pemula sudah terbukti.
Lihat AsliBalas0
AirdropChaser
· 07-24 05:56
Dia masih ingin menghasilkan uang dariku? Jebakan itu sudah aku lihat.
Lihat AsliBalas0
ChainWatcher
· 07-24 05:51
Apakah kontrak tidak diaudit terlebih dahulu? Ini terlalu tidak masuk akal.
Kontrak koleksi digital NBA memiliki celah besar. Verifikasi tanda tangan Allowlist memiliki kekurangan.
NBA baru-baru ini meluncurkan koleksi digital, tetapi yang mengkhawatirkan adalah terdapat celah besar dalam kontrak penjualannya. Peneliti keamanan menemukan bahwa pengguna jahat dapat memanfaatkan celah ini untuk mencetak koleksi tanpa membayar biaya apa pun dan mendapatkan keuntungan tidak sah melalui penjualan.
Sumber dari risiko keamanan ini terletak pada mekanisme verifikasi tanda tangan pengguna daftar putih yang terdapat dalam kontrak. Secara spesifik, kontrak gagal memastikan bahwa tanda tangan daftar putih hanya dapat digunakan oleh pengguna tertentu, dan setiap tanda tangan hanya dapat digunakan sekali. Hal ini menyebabkan penyerang dapat menggunakan kembali tanda tangan pengguna daftar putih lainnya untuk pencetakan koleksi.
Dari analisis kode kontrak, dapat dilihat bahwa fungsi verify tidak memasukkan alamat pengirim transaksi dalam konten tanda tangan saat memverifikasi tanda tangan. Selain itu, kontrak juga tidak mengimplementasikan mekanisme untuk mencegah penggunaan ulang tanda tangan. Langkah-langkah keamanan ini seharusnya menjadi pengetahuan dasar dalam pengembangan perangkat lunak, tetapi diabaikan dalam proyek yang begitu terkenal, yang sulit dipercaya.
Peristiwa ini menyoroti bahwa dalam proses pengembangan proyek blockchain, bahkan organisasi besar pun dapat mengabaikan praktik keamanan dasar. Ini mengingatkan kita bahwa saat merancang kontrak pintar, kita harus sangat memperhatikan detail keamanan, terutama saat menangani izin pengguna dan verifikasi transaksi. Selain itu, ini juga menekankan pentingnya melakukan audit keamanan yang komprehensif dan profesional sebelum proyek diluncurkan, untuk menghindari kerentanan serupa yang dapat menyebabkan kerugian potensial bagi pengguna dan proyek.
Bagi para pelaku industri blockchain, kasus ini adalah peringatan: tidak peduli seberapa besar skala proyek, prinsip keamanan dasar tidak boleh diabaikan. Tim pengembang harus terus belajar dan memperbarui pengetahuan keamanan, serta melaksanakan pemeriksaan keamanan secara ketat di setiap tahap proyek. Pada saat yang sama, pengguna harus tetap waspada saat berpartisipasi dalam proyek blockchain mana pun, memahami risiko potensial, dan memilih platform yang telah menjalani audit keamanan yang ketat untuk berinteraksi.