Відкрито серйозну вразливість у контракті цифрових колекцій NBA
Нещодавно НБА випустила серію цифрових колекційних предметів, що викликало широкий інтерес на ринку. Однак, насторожуюча проблема стала очевидною – в контрактах на продаж цих цифрових колекційних предметів існують серйозні вразливості. Експерти з безпеки виявили, що зловмисники можуть скористатися цією вразливістю, безкоштовно створюючи колекційні предмети і отримуючи неправомірні вигоди від їх продажу.
Ця уразливість виникає через недоліки в механізмі перевірки підписів користувачів білого списку в контракті. Контракт не зміг забезпечити ексклюзивність і одноразове використання підписів білого списку, що означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для створення колекцій.
З технологічної точки зору, функція verify в контракті має очевидні недоліки. Ця функція не включає адресу відправника в зміст підпису під час процесу верифікації, а також не має механізму для запобігання повторному використанню підпису. Це те, що повинно бути базовими знаннями з безпеки програмного забезпечення, проте в такому відомому проекті це було проігноровано, що дійсно шокує.
!
Експерти з безпеки вказують, що поява таких вразливостей відображає недбалість розробників щодо безпеки смарт-контрактів. У сфері блокчейну та цифрових активів безпека контрактів безпосередньо стосується безпеки активів користувачів, і будь-яка незначна недбалість може призвести до серйозних наслідків.
Ця подія ще раз нагадує нам, що незалежно від масштабу та популярності проекту, під час випуску смарт-контрактів необхідно проводити всебічний і суворий аудит безпеки. Одночасно це підкреслює термінову потребу індустрії блокчейн у висококваліфікованих спеціалістах з безпеки.
З ростом швидкого розвитку ринку цифрових колекцій, подібні проблеми безпеки можуть виникати частіше. Тому проектні команди, розробники та користувачі повинні підвищити обізнаність щодо безпеки і спільно підтримувати здоровий розвиток екосистеми цифрових активів.
!
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
У контракті цифрових колекцій NBA виявлено серйозну уразливість, що дозволяє без обмежень мінтити.
Відкрито серйозну вразливість у контракті цифрових колекцій NBA
Нещодавно НБА випустила серію цифрових колекційних предметів, що викликало широкий інтерес на ринку. Однак, насторожуюча проблема стала очевидною – в контрактах на продаж цих цифрових колекційних предметів існують серйозні вразливості. Експерти з безпеки виявили, що зловмисники можуть скористатися цією вразливістю, безкоштовно створюючи колекційні предмети і отримуючи неправомірні вигоди від їх продажу.
Ця уразливість виникає через недоліки в механізмі перевірки підписів користувачів білого списку в контракті. Контракт не зміг забезпечити ексклюзивність і одноразове використання підписів білого списку, що означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для створення колекцій.
З технологічної точки зору, функція verify в контракті має очевидні недоліки. Ця функція не включає адресу відправника в зміст підпису під час процесу верифікації, а також не має механізму для запобігання повторному використанню підпису. Це те, що повинно бути базовими знаннями з безпеки програмного забезпечення, проте в такому відомому проекті це було проігноровано, що дійсно шокує.
!
Експерти з безпеки вказують, що поява таких вразливостей відображає недбалість розробників щодо безпеки смарт-контрактів. У сфері блокчейну та цифрових активів безпека контрактів безпосередньо стосується безпеки активів користувачів, і будь-яка незначна недбалість може призвести до серйозних наслідків.
Ця подія ще раз нагадує нам, що незалежно від масштабу та популярності проекту, під час випуску смарт-контрактів необхідно проводити всебічний і суворий аудит безпеки. Одночасно це підкреслює термінову потребу індустрії блокчейн у висококваліфікованих спеціалістах з безпеки.
З ростом швидкого розвитку ринку цифрових колекцій, подібні проблеми безпеки можуть виникати частіше. Тому проектні команди, розробники та користувачі повинні підвищити обізнаність щодо безпеки і спільно підтримувати здоровий розвиток екосистеми цифрових активів.
!