NBA, yakın zamanda dijital koleksiyon ürünleri piyasaya sürdü, ancak endişe verici olan, satış sözleşmelerinde önemli açıkların bulunması. Güvenlik araştırmacıları, kötü niyetli kullanıcıların bu açığı kullanarak, herhangi bir ücret ödemeden koleksiyon ürünleri mintleme yapabileceğini ve satış yoluyla haksız kazanç elde edebileceğini keşfetti.
Bu güvenlik açığının kaynağı, sözleşmenin beyaz liste kullanıcılarının imzalarının doğrulama mekanizmasındaki bir hatadır. Özellikle, sözleşme beyaz liste imzalarının yalnızca belirli kullanıcılar tarafından kullanılmasını sağlamadı ve her imzanın yalnızca bir kez kullanılmasını garanti etmedi. Bu, saldırganların diğer beyaz liste kullanıcılarının imzalarını tekrar tekrar kullanarak koleksiyon ürünleri mintleme yapmasına neden oldu.
Sözleşme kodu analizinden görülebileceği gibi, verify fonksiyonu imzayı doğrularken işlem başlatıcısının adresini imza içeriğine dahil etmemektedir. Ayrıca, sözleşme imzanın tekrar kullanımını önleyici bir mekanizma da uygulamamaktadır. Bu güvenlik önlemleri, yazılım geliştirme alanında temel bilgiler olmalıdır, ancak bu kadar tanınmış bir projede göz ardı edilmesi inanılmaz.
Bu olay, blok zinciri projeleri geliştirilirken büyük organizasyonların bile temel güvenlik uygulamalarını göz ardı edebileceğini vurgulamaktadır. Akıllı sözleşmeler tasarlanırken, özellikle kullanıcı izinleri ve işlem doğrulama ile ilgili güvenlik detaylarına ekstra dikkat edilmesi gerektiğini hatırlatmaktadır. Aynı zamanda, projelerin piyasaya sürülmeden önce kapsamlı ve profesyonel bir güvenlik denetiminden geçirilmesinin önemini de vurgulamaktadır; böylece benzer açıkların kullanıcılara ve projelere potansiyel zararlar vermesi önlenebilir.
Blockchain sektöründeki katılımcılar için bu vaka bir uyarıdır: Proje büyüklüğü ne olursa olsun, temel güvenlik prensipleri göz ardı edilmemelidir. Geliştirme ekibi güvenlik bilgilerini sürekli olarak öğrenmeli ve güncellemelidir ve projenin her aşamasında güvenlik kontrollerini titizlikle uygulamalıdır. Aynı zamanda, kullanıcılar herhangi bir blockchain projesine katıldıklarında dikkatli olmalı, potansiyel riskleri anlamalı ve sıkı güvenlik denetimlerinden geçmiş platformlarla etkileşimde bulunmayı tercih etmelidir.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 Likes
Reward
9
8
Repost
Share
Comment
0/400
OnchainFortuneTeller
· 07-27 01:03
İzin listesi not kontrolü yapılmıyor, bu zeka endişe verici.
View OriginalReply0
RugPullAlarm
· 07-26 15:17
Bu para sonunda Tornado Cash'e akacak, büyük bir olay olacaktır.
View OriginalReply0
WhaleWatcher
· 07-24 17:47
Bu zekâ vergisi ödendi.
View OriginalReply0
CodeAuditQueen
· 07-24 06:13
Eski bir konu olan imza tekrarları geri geldi. İnceleme sırasında herkes uyuyor mu?
NBA dijital koleksiyon sözleşmesinde önemli bir açık var. İzin listesi imza doğrulama hataları içeriyor.
NBA, yakın zamanda dijital koleksiyon ürünleri piyasaya sürdü, ancak endişe verici olan, satış sözleşmelerinde önemli açıkların bulunması. Güvenlik araştırmacıları, kötü niyetli kullanıcıların bu açığı kullanarak, herhangi bir ücret ödemeden koleksiyon ürünleri mintleme yapabileceğini ve satış yoluyla haksız kazanç elde edebileceğini keşfetti.
Bu güvenlik açığının kaynağı, sözleşmenin beyaz liste kullanıcılarının imzalarının doğrulama mekanizmasındaki bir hatadır. Özellikle, sözleşme beyaz liste imzalarının yalnızca belirli kullanıcılar tarafından kullanılmasını sağlamadı ve her imzanın yalnızca bir kez kullanılmasını garanti etmedi. Bu, saldırganların diğer beyaz liste kullanıcılarının imzalarını tekrar tekrar kullanarak koleksiyon ürünleri mintleme yapmasına neden oldu.
Sözleşme kodu analizinden görülebileceği gibi, verify fonksiyonu imzayı doğrularken işlem başlatıcısının adresini imza içeriğine dahil etmemektedir. Ayrıca, sözleşme imzanın tekrar kullanımını önleyici bir mekanizma da uygulamamaktadır. Bu güvenlik önlemleri, yazılım geliştirme alanında temel bilgiler olmalıdır, ancak bu kadar tanınmış bir projede göz ardı edilmesi inanılmaz.
Bu olay, blok zinciri projeleri geliştirilirken büyük organizasyonların bile temel güvenlik uygulamalarını göz ardı edebileceğini vurgulamaktadır. Akıllı sözleşmeler tasarlanırken, özellikle kullanıcı izinleri ve işlem doğrulama ile ilgili güvenlik detaylarına ekstra dikkat edilmesi gerektiğini hatırlatmaktadır. Aynı zamanda, projelerin piyasaya sürülmeden önce kapsamlı ve profesyonel bir güvenlik denetiminden geçirilmesinin önemini de vurgulamaktadır; böylece benzer açıkların kullanıcılara ve projelere potansiyel zararlar vermesi önlenebilir.
Blockchain sektöründeki katılımcılar için bu vaka bir uyarıdır: Proje büyüklüğü ne olursa olsun, temel güvenlik prensipleri göz ardı edilmemelidir. Geliştirme ekibi güvenlik bilgilerini sürekli olarak öğrenmeli ve güncellemelidir ve projenin her aşamasında güvenlik kontrollerini titizlikle uygulamalıdır. Aynı zamanda, kullanıcılar herhangi bir blockchain projesine katıldıklarında dikkatli olmalı, potansiyel riskleri anlamalı ve sıkı güvenlik denetimlerinden geçmiş platformlarla etkileşimde bulunmayı tercih etmelidir.