أصدرت NBA مؤخرًا مجموعة من المقتنيات الرقمية، ولكن ما يثير القلق هو وجود ثغرات أمنية خطيرة في عقد مبيعاتها. لقد اكتشف خبراء التقنية أن هذه الثغرة يمكن أن يستغلها المجرمون لتحقيق سك المقتنيات بدون تكلفة وجني الأرباح منها.
تكمن المشكلة في عيب في آلية التحقق من توقيع مستخدمي القائمة البيضاء. لم يضمن تصميم العقد خصائص توقيع القائمة البيضاء وكونه قابلاً للاستخدام لمرة واحدة، مما يعني أن المهاجمين يمكنهم إعادة استخدام توقيعات مستخدمين آخرين في القائمة البيضاء لالسك القطع.
من تحليل كود العقد، يتضح أن دالة verify عند تصميمها تجاهلت تضمين عنوان المرسل في عملية التحقق من التوقيع، كما أنه لم يتم تنفيذ آلية لمنع إعادة استخدام التوقيع. هذه كانت ينبغي أن تكون تدابير أمنية أساسية، لكنها تم تجاهلها في مشروع بارز كهذا، مما يبعث على الدهشة حقًا.
!
هذا الإغفال لا يكشف فقط عن قصور فريق المشروع في جوانب أمان العقود الذكية، بل يبرز أيضًا المخاطر المحتملة التي لا تزال موجودة في تنفيذ التقنية بسوق المقتنيات الرقمية. بالنسبة للمشاركين، فإن هذا بلا شك يعد تحذيرًا، يذكرنا بضرورة أن نكون أكثر حذرًا عند المشاركة في معاملات المقتنيات الرقمية، كما يدعو الفرق إلى تعزيز مراجعة الأمان وتحسين جودة العقود.
في مجال الأصول الرقمية، تظل الأمان دائمًا هو الاعتبار الأساسي. هذه الحادثة تبرز مرة أخرى أهمية مراجعة الشيفرة بدقة واختبارات الأمان الشاملة. نأمل من خلال هذه الدروس أن يولي القطاع اهتمامًا أكبر بأمان العقود الذكية، ليقدم للمستخدمين تجربة أكثر موثوقية وأمانًا في المقتنيات الرقمية.
!
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
يوجد ثغرة كبيرة في عقد مجموعة NBA الرقمية، يمكن استخدام توقيع قائمة السماح بشكل متكرر.
أصدرت NBA مؤخرًا مجموعة من المقتنيات الرقمية، ولكن ما يثير القلق هو وجود ثغرات أمنية خطيرة في عقد مبيعاتها. لقد اكتشف خبراء التقنية أن هذه الثغرة يمكن أن يستغلها المجرمون لتحقيق سك المقتنيات بدون تكلفة وجني الأرباح منها.
تكمن المشكلة في عيب في آلية التحقق من توقيع مستخدمي القائمة البيضاء. لم يضمن تصميم العقد خصائص توقيع القائمة البيضاء وكونه قابلاً للاستخدام لمرة واحدة، مما يعني أن المهاجمين يمكنهم إعادة استخدام توقيعات مستخدمين آخرين في القائمة البيضاء لالسك القطع.
من تحليل كود العقد، يتضح أن دالة verify عند تصميمها تجاهلت تضمين عنوان المرسل في عملية التحقق من التوقيع، كما أنه لم يتم تنفيذ آلية لمنع إعادة استخدام التوقيع. هذه كانت ينبغي أن تكون تدابير أمنية أساسية، لكنها تم تجاهلها في مشروع بارز كهذا، مما يبعث على الدهشة حقًا.
!
هذا الإغفال لا يكشف فقط عن قصور فريق المشروع في جوانب أمان العقود الذكية، بل يبرز أيضًا المخاطر المحتملة التي لا تزال موجودة في تنفيذ التقنية بسوق المقتنيات الرقمية. بالنسبة للمشاركين، فإن هذا بلا شك يعد تحذيرًا، يذكرنا بضرورة أن نكون أكثر حذرًا عند المشاركة في معاملات المقتنيات الرقمية، كما يدعو الفرق إلى تعزيز مراجعة الأمان وتحسين جودة العقود.
في مجال الأصول الرقمية، تظل الأمان دائمًا هو الاعتبار الأساسي. هذه الحادثة تبرز مرة أخرى أهمية مراجعة الشيفرة بدقة واختبارات الأمان الشاملة. نأمل من خلال هذه الدروس أن يولي القطاع اهتمامًا أكبر بأمان العقود الذكية، ليقدم للمستخدمين تجربة أكثر موثوقية وأمانًا في المقتنيات الرقمية.
!