يتعرض عقد التحصيل الرقمي NBA لنقاط ضعف خطيرة ، ويمكن للمهاجمين الربح دون أي تكلفة

مؤخراً، أطلقت رابطة الدوري الأمريكي للمحترفين مشروع collectibles الرقمي، ومع ذلك، تم اكتشاف عيوب أمنية كبيرة في العقد الذكي الخاص بالمشروع. أشار الباحثون في مجال الأمن إلى أن ثغرة في العقد قد تُستغل من قبل العناصر غير القانونية، مما يتيح لها صك collectibles بتكلفة صفرية وتحقيق أرباح من ذلك.

السبب الجذري لهذه الثغرة الأمنية هو عيب في آلية التحقق من توقيعات المستخدمين المدرجين في القائمة البيضاء. على وجه التحديد ، فشل العقد في ضمان حصرية توقيعات القائمة البيضاء واستخدامها لمرة واحدة. هذا يعني أنه يمكن للمهاجم إعادة استخدام توقيعات المستخدمين الآخرين المدرجين في القائمة البيضاء لسك المقتنيات.

من خلال الشيفرة المصدرية للعقد المسربة، يمكن رؤية أن وظيفة verify عند التحقق من التوقيع لم تشمل عنوان مرسل المعاملة في محتوى التوقيع. بالإضافة إلى ذلك، لم يقم العقد بتعيين آلية لمنع استخدام التوقيع عدة مرات. كان ينبغي أن تكون هذه التدابير الأمنية من البديهيات في تطوير العقود الذكية.

!

أعرب الخبراء في الصناعة عن صدمتهم، معتقدين أن مثل هذه الثغرة الأمنية الأساسية ظهرت في مشروع معروف جداً، وهذا حقاً يصعب تصديقه. تبرز هذه الحادثة مرة أخرى أهمية عدم تجاهل أبسط ممارسات الأمن أثناء تطوير مشاريع البلوكشين.

الحادث هو أيضا دعوة للاستيقاظ لمشاريع blockchain الأخرى. يذكر المطورين بتوخي الحذر الشديد عند تصميم العقود الذكية ، وخاصة أمان الجوانب الرئيسية مثل التحقق من التوقيع والتحكم في الأذونات. وفي الوقت نفسه، يسلط الضوء أيضا على أهمية إجراء تدقيق أمني شامل قبل بدء تشغيل المشروع.

مع التطور السريع لسوق المقتنيات الرقمية ، قد يكون هناك المزيد والمزيد من المشكلات الأمنية المماثلة. لذلك ، يحتاج كل من فريق المشروع والمستخدم إلى تحسين وعيهم الأمني واتخاذ التدابير الوقائية اللازمة. كما أصبح من المهم بشكل متزايد للمستثمرين فهم الحالة الأمنية لأي مشروع رقمي قابل للتحصيل قبل المشاركة فيه.

!