В смарт-контракте цифровых коллекционных предметов NBA обнаружена серьезная уязвимость: подписи из Разрешенного списка могут быть использованы многократно.
Недавно НБА выпустила серию цифровых коллекционных предметов, но вызывает беспокойство то, что в их контракте на продажу есть серьезные уязвимости в безопасности. Технические эксперты обнаружили, что эту уязвимость могут использовать злоумышленники для без成本 минтинга коллекционных предметов и получения прибыли.
Корень проблемы заключается в том, что механизм проверки подписей пользователей из белого списка имеет недостатки. В дизайне контракта не удалось обеспечить эксклюзивность и разовую использование подписей из белого списка, что означает, что злоумышленники могут повторно использовать подписи других пользователей из белого списка для минтинга коллекционных предметов.
С анализа кода контракта видно, что функция verify при разработке игнорировала включение адреса отправителя в процесс проверки подписи, а также не была внедрена механика предотвращения повторного использования подписи. Эти меры должны были быть основными мерами безопасности программного обеспечения, но в таком громком проекте они были проигнорированы, что действительно шокирует.
!
Этот упуск в внимании не только выявил недостатки команды проекта в области безопасности смарт-контрактов, но также подчеркнул потенциальные риски, которые все еще существуют в технологии реализации на рынке цифровых коллекционных предметов. Для участников это, безусловно, сигнал, напоминающий нам о необходимости большей осторожности при участии в торговле цифровыми коллекционными предметами, а также призыв к команде проекта усилить аудит безопасности и повысить качество контрактов.
В сфере цифровых активов безопасность всегда является первоочередным фактором. Это событие вновь подчеркивает важность строгого аудита кода и всестороннего тестирования безопасности. Надеюсь, что благодаря этому уроку отрасль сможет больше внимания уделить безопасности смарт-контрактов, предоставляя пользователям более надежный и безопасный опыт цифровых коллекционных предметов.
!
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
В смарт-контракте цифровых коллекционных предметов NBA обнаружена серьезная уязвимость: подписи из Разрешенного списка могут быть использованы многократно.
Недавно НБА выпустила серию цифровых коллекционных предметов, но вызывает беспокойство то, что в их контракте на продажу есть серьезные уязвимости в безопасности. Технические эксперты обнаружили, что эту уязвимость могут использовать злоумышленники для без成本 минтинга коллекционных предметов и получения прибыли.
Корень проблемы заключается в том, что механизм проверки подписей пользователей из белого списка имеет недостатки. В дизайне контракта не удалось обеспечить эксклюзивность и разовую использование подписей из белого списка, что означает, что злоумышленники могут повторно использовать подписи других пользователей из белого списка для минтинга коллекционных предметов.
С анализа кода контракта видно, что функция verify при разработке игнорировала включение адреса отправителя в процесс проверки подписи, а также не была внедрена механика предотвращения повторного использования подписи. Эти меры должны были быть основными мерами безопасности программного обеспечения, но в таком громком проекте они были проигнорированы, что действительно шокирует.
!
Этот упуск в внимании не только выявил недостатки команды проекта в области безопасности смарт-контрактов, но также подчеркнул потенциальные риски, которые все еще существуют в технологии реализации на рынке цифровых коллекционных предметов. Для участников это, безусловно, сигнал, напоминающий нам о необходимости большей осторожности при участии в торговле цифровыми коллекционными предметами, а также призыв к команде проекта усилить аудит безопасности и повысить качество контрактов.
В сфере цифровых активов безопасность всегда является первоочередным фактором. Это событие вновь подчеркивает важность строгого аудита кода и всестороннего тестирования безопасности. Надеюсь, что благодаря этому уроку отрасль сможет больше внимания уделить безопасности смарт-контрактов, предоставляя пользователям более надежный и безопасный опыт цифровых коллекционных предметов.
!