У контракті цифрових колекцій NBA є суттєва вразливість безпеки
Нещодавно НБА представила серію цифрових колекцій, але викликає занепокоєння те, що в її контракті на продаж були виявлені серйозні проблеми з безпекою. Дослідники з безпеки вказали, що цю уразливість можна зловживати, дозволяючи зловмисникам безкоштовно створювати колекції та отримувати з цього прибуток.
!
Після аналізу з'ясувалося, що корінь проблеми полягає в недоліках механізму перевірки підписів користувачів білого списку в контракті. Конкретно, контракт не забезпечив унікальність та ексклюзивність підписів білого списку, що означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для виготовлення колекцій.
З технічної точки зору, реалізація функції verify має очевидні недоліки. Ця функція під час верифікації не включає адресу відправника транзакції до змісту підпису, а також не має механізму, щоб запобігти багаторазовому використанню підпису. Ці заходи безпеки мали б бути базовими, але в такому відомому проекті їх проігнорували, що дійсно вражає.
!
Виявлення цього вразливості безпеки підкреслює важливість суворого дотримання найкращих практик безпеки під час розробки блокчейн-проектів. Навіть у проектах, запущених великими організаціями, можуть бути основні недоліки безпеки. Для користувачів, які беруть участь у торгівлі цифровими колекційними предметами, це безсумнівно є попередженням, яке нагадує їм залишатися пильними під час участі в відповідних заходах та звертати увагу на ставлення та здатність проекту до вирішення питань безпеки.
Для НБА та інших установ, які планують випускати цифрові колекційні предмети, ця подія повинна стати важливою можливістю для навчання. Вона підкреслює необхідність проведення всебічного аудитування безпеки у процесі розробки, а також ретельної перевірки кожної потенційної уразливості перед впровадженням. Лише забезпечивши безпеку та надійність інфраструктури, можна насправді захистити інтереси користувачів і підтримувати здоровий розвиток ринку цифрових колекційних предметів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
5
Поділіться
Прокоментувати
0/400
TokenRationEater
· 07-18 18:12
Знову контракт було зламано
Переглянути оригіналвідповісти на0
NotSatoshi
· 07-17 21:10
Цей контракт написаний стажером, правда?
Переглянути оригіналвідповісти на0
AirdropHarvester
· 07-17 21:09
Знову смартконтракти роздають гроші?
Переглянути оригіналвідповісти на0
MetaverseLandlord
· 07-17 21:06
Наскільки велика вразливість, щоб випустити скамкойн?
Переглянути оригіналвідповісти на0
gas_fee_therapist
· 07-17 20:56
Яка велика вразливість, можна безсоромно використовувати
Контракт цифрових колекцій NBA виявив значні вразливості безпеки, мінтинг механізм містить ризики
У контракті цифрових колекцій NBA є суттєва вразливість безпеки
Нещодавно НБА представила серію цифрових колекцій, але викликає занепокоєння те, що в її контракті на продаж були виявлені серйозні проблеми з безпекою. Дослідники з безпеки вказали, що цю уразливість можна зловживати, дозволяючи зловмисникам безкоштовно створювати колекції та отримувати з цього прибуток.
!
Після аналізу з'ясувалося, що корінь проблеми полягає в недоліках механізму перевірки підписів користувачів білого списку в контракті. Конкретно, контракт не забезпечив унікальність та ексклюзивність підписів білого списку, що означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для виготовлення колекцій.
З технічної точки зору, реалізація функції verify має очевидні недоліки. Ця функція під час верифікації не включає адресу відправника транзакції до змісту підпису, а також не має механізму, щоб запобігти багаторазовому використанню підпису. Ці заходи безпеки мали б бути базовими, але в такому відомому проекті їх проігнорували, що дійсно вражає.
!
Виявлення цього вразливості безпеки підкреслює важливість суворого дотримання найкращих практик безпеки під час розробки блокчейн-проектів. Навіть у проектах, запущених великими організаціями, можуть бути основні недоліки безпеки. Для користувачів, які беруть участь у торгівлі цифровими колекційними предметами, це безсумнівно є попередженням, яке нагадує їм залишатися пильними під час участі в відповідних заходах та звертати увагу на ставлення та здатність проекту до вирішення питань безпеки.
Для НБА та інших установ, які планують випускати цифрові колекційні предмети, ця подія повинна стати важливою можливістю для навчання. Вона підкреслює необхідність проведення всебічного аудитування безпеки у процесі розробки, а також ретельної перевірки кожної потенційної уразливості перед впровадженням. Лише забезпечивши безпеку та надійність інфраструктури, можна насправді захистити інтереси користувачів і підтримувати здоровий розвиток ринку цифрових колекційних предметів.