НБА нещодавно представила ряд цифрових колекцій, але викликає занепокоєння те, що в їхніх договорах на продаж існують серйозні вразливості безпеки. Технічні експерти виявили, що цю вразливість можуть використовувати злочинці для безкоштовного мінтингування колекцій і отримання прибутку.
Корінь проблеми полягає в тому, що механізм перевірки підписів користувачів білого списку має вади. У дизайні контракту не вдалося забезпечити ексклюзивність підписів білого списку та їх одноразове використання, що означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для мінтінгу колекцій.
З аналізу коду контрактів видно, що під час проектування функції verify було проігноровано включення адреси відправника до процесу перевірки підпису, а також не було впроваджено механізму запобігання повторному використанню підписів. Ці заходи мали б бути базовими заходами безпеки програмного забезпечення, але були проігноровані в такому гучному проекті, що справді шокує.
!
Ця недбалість не лише виявила недоліки команди проекту в безпеці смарт-контрактів, але й підкреслила потенційні ризики, що існують у цифровому колекціонуванні з технічної точки зору. Для учасників це, безумовно, є попередженням, яке нагадує нам про необхідність бути більш обережними під час участі у торгівлі цифровими колекційними предметами, а також закликає команди проектів посилити безпековий аудит та підвищити якість контрактів.
У сфері цифрових активів безпека завжди є найважливішим фактором. Ця подія ще раз підкреслила важливість строгого аудиту коду та всебічного тестування на безпеку. Сподіваємося, що завдяки цьому уроку галузь зможе більш серйозно ставитися до безпеки смарт-контрактів, забезпечуючи користувачам більш надійний та безпечний досвід цифрових колекцій.
!
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
У контракті цифрових колекцій NBA виявлено серйозну вразливість – підписи з Дозволеного списку можуть бути повторно використані.
НБА нещодавно представила ряд цифрових колекцій, але викликає занепокоєння те, що в їхніх договорах на продаж існують серйозні вразливості безпеки. Технічні експерти виявили, що цю вразливість можуть використовувати злочинці для безкоштовного мінтингування колекцій і отримання прибутку.
Корінь проблеми полягає в тому, що механізм перевірки підписів користувачів білого списку має вади. У дизайні контракту не вдалося забезпечити ексклюзивність підписів білого списку та їх одноразове використання, що означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для мінтінгу колекцій.
З аналізу коду контрактів видно, що під час проектування функції verify було проігноровано включення адреси відправника до процесу перевірки підпису, а також не було впроваджено механізму запобігання повторному використанню підписів. Ці заходи мали б бути базовими заходами безпеки програмного забезпечення, але були проігноровані в такому гучному проекті, що справді шокує.
!
Ця недбалість не лише виявила недоліки команди проекту в безпеці смарт-контрактів, але й підкреслила потенційні ризики, що існують у цифровому колекціонуванні з технічної точки зору. Для учасників це, безумовно, є попередженням, яке нагадує нам про необхідність бути більш обережними під час участі у торгівлі цифровими колекційними предметами, а також закликає команди проектів посилити безпековий аудит та підвищити якість контрактів.
У сфері цифрових активів безпека завжди є найважливішим фактором. Ця подія ще раз підкреслила важливість строгого аудиту коду та всебічного тестування на безпеку. Сподіваємося, що завдяки цьому уроку галузь зможе більш серйозно ставитися до безпеки смарт-контрактів, забезпечуючи користувачам більш надійний та безпечний досвід цифрових колекцій.
!