La NBA a récemment lancé une série de collections numériques, mais ce qui est préoccupant, c'est qu'il existe de graves failles de sécurité dans son contrat de vente. Des experts techniques ont découvert que cette faille pourrait être exploitée par des individus malintentionnés pour réaliser des opérations de minting de collections sans coût et en tirer profit.
La source du problème réside dans le mécanisme de vérification des signatures des utilisateurs de la liste blanche qui présente des défauts. La conception du contrat n'a pas réussi à garantir l'exclusivité et l'utilisation unique des signatures de la liste blanche, ce qui signifie qu'un attaquant peut réutiliser les signatures d'autres utilisateurs de la liste blanche pour minting des collections.
Une analyse du code du contrat montre que la fonction verify a négligé d'inclure l'adresse de l'expéditeur dans le processus de vérification de la signature, et qu'aucun mécanisme n'a été mis en place pour empêcher la réutilisation de la signature. Ces mesures de sécurité logicielle, qui devraient être fondamentales, ont été ignorées dans un projet aussi en vue, ce qui est vraiment choquant.
Cette négligence expose non seulement les lacunes de l'équipe du projet en matière de sécurité des contrats intelligents, mais met également en évidence les risques potentiels qui subsistent dans la mise en œuvre technique du marché des collections numériques. Pour les participants, c'est sans aucun doute un avertissement, nous rappelant la nécessité d'être plus prudents lors de la participation aux transactions de collections numériques, tout en appelant l'équipe du projet à renforcer les audits de sécurité et à améliorer la qualité des contrats.
Dans le domaine des actifs numériques, la sécurité est toujours la préoccupation principale. Cet événement souligne à nouveau l'importance d'audits de code rigoureux et de tests de sécurité complets. Nous espérons qu'à travers cette leçon, l'industrie prêtera davantage attention à la sécurité des contrats intelligents, afin d'offrir aux utilisateurs une expérience de collection numérique plus fiable et plus sûre.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Le contrat de collection numérique NBA présente une vulnérabilité majeure : la signature de l'Allowlist peut être réutilisée à plusieurs reprises.
La NBA a récemment lancé une série de collections numériques, mais ce qui est préoccupant, c'est qu'il existe de graves failles de sécurité dans son contrat de vente. Des experts techniques ont découvert que cette faille pourrait être exploitée par des individus malintentionnés pour réaliser des opérations de minting de collections sans coût et en tirer profit.
La source du problème réside dans le mécanisme de vérification des signatures des utilisateurs de la liste blanche qui présente des défauts. La conception du contrat n'a pas réussi à garantir l'exclusivité et l'utilisation unique des signatures de la liste blanche, ce qui signifie qu'un attaquant peut réutiliser les signatures d'autres utilisateurs de la liste blanche pour minting des collections.
Une analyse du code du contrat montre que la fonction verify a négligé d'inclure l'adresse de l'expéditeur dans le processus de vérification de la signature, et qu'aucun mécanisme n'a été mis en place pour empêcher la réutilisation de la signature. Ces mesures de sécurité logicielle, qui devraient être fondamentales, ont été ignorées dans un projet aussi en vue, ce qui est vraiment choquant.
Cette négligence expose non seulement les lacunes de l'équipe du projet en matière de sécurité des contrats intelligents, mais met également en évidence les risques potentiels qui subsistent dans la mise en œuvre technique du marché des collections numériques. Pour les participants, c'est sans aucun doute un avertissement, nous rappelant la nécessité d'être plus prudents lors de la participation aux transactions de collections numériques, tout en appelant l'équipe du projet à renforcer les audits de sécurité et à améliorer la qualité des contrats.
Dans le domaine des actifs numériques, la sécurité est toujours la préoccupation principale. Cet événement souligne à nouveau l'importance d'audits de code rigoureux et de tests de sécurité complets. Nous espérons qu'à travers cette leçon, l'industrie prêtera davantage attention à la sécurité des contrats intelligents, afin d'offrir aux utilisateurs une expérience de collection numérique plus fiable et plus sûre.