NBA нещодавно випустила цифрові колекційні предмети, але викликає занепокоєння те, що в їхніх угодах про продаж є суттєві вразливості. Дослідники з безпеки виявили, що зловмисники можуть скористатися цими вразливостями, без необхідності сплачувати будь-які збори, щоб мінтити колекційні предмети та отримувати неправомірні вигоди шляхом їх продажу.
Ця проблема безпеки виникає через недоліки механізму перевірки підписів користувачів з білого списку в контракті. Конкретно, контракт не забезпечує, щоб підписи білого списку використовувалися лише певними користувачами, і кожен підпис міг використовуватися лише один раз. Це дозволяє зловмисникам повторно використовувати підписи інших користувачів білого списку для мінтингу колекційних предметів.
З аналізу коду контракту видно, що функція verify під час перевірки підпису не включає адресу ініціатора транзакції до змісту підпису. Крім того, контракт також не реалізував механізм запобігання повторному використанню підписів. Ці заходи безпеки мали б бути основними знаннями в розробці програмного забезпечення, але були проігноровані в такому відомому проєкті, що викликає недовіру.
!
Ця подія підкреслює, що під час розробки блокчейн-проєктів навіть великі організації можуть ігнорувати основні практики безпеки. Вона нагадує нам, що при проектуванні смарт-контрактів потрібно особливо пильно ставитися до деталей безпеки, особливо при обробці прав користувачів та верифікації транзакцій. Одночасно це також підкреслює важливість проведення комплексного, професійного аудиту безпеки перед запуском проєкту, щоб уникнути подібних вразливостей, які можуть завдати потенційної шкоди користувачам та проєкту.
Для учасників індустрії блокчейн цей випадок є попередженням: незалежно від масштабу проекту, не можна ігнорувати основні принципи безпеки. Розробницька команда повинна постійно навчатися та оновлювати свої знання з безпеки, а також суворо дотримуватись перевірок безпеки на всіх етапах проекту. Водночас, користувачі також повинні бути обережними, беручи участь у будь-якому блокчейн-проекті, усвідомлюючи потенційні ризики та обираючи платформи, що пройшли суворий аудит безпеки для взаємодії.
!
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
8
Репост
Поділіться
Прокоментувати
0/400
OnchainFortuneTeller
· 07-27 01:03
Дозволений список не перевіряє підпис, це IQ викликає занепокоєння.
Переглянути оригіналвідповісти на0
RugPullAlarm
· 07-26 15:17
Ці гроші врешті-решт потраплять до торгівельного змішувача Tornado Cash, обов'язково станеться щось велике.
Переглянути оригіналвідповісти на0
WhaleWatcher
· 07-24 17:47
Ця розумова платня за розумовий податок.
Переглянути оригіналвідповісти на0
CodeAuditQueen
· 07-24 06:13
Знову повернулася стара пісня про повторення підписів. Чи всі сплять під час перевірки?
Переглянути оригіналвідповісти на0
AirdropSweaterFan
· 07-24 06:06
Механізм підпису не вмієте писати? Кухонна курка підтвердила.
Переглянути оригіналвідповісти на0
AirdropChaser
· 07-24 05:56
Він ще хоче заробити мої гроші? Пастка була мною розгадана.
Переглянути оригіналвідповісти на0
ChainWatcher
· 07-24 05:51
Контракти не підлягають попередньому аудиту? Це ж надто абсурдно!
У контракті цифрових колекцій NBA виявлено серйозну уразливість, Дозволений список підпису має дефект.
NBA нещодавно випустила цифрові колекційні предмети, але викликає занепокоєння те, що в їхніх угодах про продаж є суттєві вразливості. Дослідники з безпеки виявили, що зловмисники можуть скористатися цими вразливостями, без необхідності сплачувати будь-які збори, щоб мінтити колекційні предмети та отримувати неправомірні вигоди шляхом їх продажу.
Ця проблема безпеки виникає через недоліки механізму перевірки підписів користувачів з білого списку в контракті. Конкретно, контракт не забезпечує, щоб підписи білого списку використовувалися лише певними користувачами, і кожен підпис міг використовуватися лише один раз. Це дозволяє зловмисникам повторно використовувати підписи інших користувачів білого списку для мінтингу колекційних предметів.
З аналізу коду контракту видно, що функція verify під час перевірки підпису не включає адресу ініціатора транзакції до змісту підпису. Крім того, контракт також не реалізував механізм запобігання повторному використанню підписів. Ці заходи безпеки мали б бути основними знаннями в розробці програмного забезпечення, але були проігноровані в такому відомому проєкті, що викликає недовіру.
!
Ця подія підкреслює, що під час розробки блокчейн-проєктів навіть великі організації можуть ігнорувати основні практики безпеки. Вона нагадує нам, що при проектуванні смарт-контрактів потрібно особливо пильно ставитися до деталей безпеки, особливо при обробці прав користувачів та верифікації транзакцій. Одночасно це також підкреслює важливість проведення комплексного, професійного аудиту безпеки перед запуском проєкту, щоб уникнути подібних вразливостей, які можуть завдати потенційної шкоди користувачам та проєкту.
Для учасників індустрії блокчейн цей випадок є попередженням: незалежно від масштабу проекту, не можна ігнорувати основні принципи безпеки. Розробницька команда повинна постійно навчатися та оновлювати свої знання з безпеки, а також суворо дотримуватись перевірок безпеки на всіх етапах проекту. Водночас, користувачі також повинні бути обережними, беручи участь у будь-якому блокчейн-проекті, усвідомлюючи потенційні ризики та обираючи платформи, що пройшли суворий аудит безпеки для взаємодії.
!