У контракті цифрових колекцій NBA існують серйозні вразливості безпеки
Нещодавно НБА представила серію цифрових колекцій, що викликало широкий інтерес на ринку. Однак під час продажу цих колекцій ми виявили тривожну проблему: смарт-контракт, відповідальний за продаж цих цифрових колекцій, має серйозні проблеми з безпекою. Ця вразливість може бути використана злочинними елементами для безкоштовного карбування колекцій та їх продажу з метою отримання неправомірної вигоди.
Основна проблема цього безпекового вразливості полягає в тому, що механізм перевірки підписів користувачів білого списку в контракті має недоліки. Конкретно, контракт не встановив достатніх заходів безпеки для забезпечення унікальності та спеціалізації підписів білого списку. Це означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для карбування колекцій, обходячи звичайний процес покупки.
З технічної точки зору, проблема полягає в реалізації функції verify. Ця функція під час перевірки підпису не включає адресу відправника транзакції в зміст підпису. Ще серйозніше, що контракт також не має механізму для забезпечення того, щоб кожен підпис можна було використовувати лише один раз. Це мали бути найосновніші практики безпеки в розробці програмного забезпечення, але вони були ігноровані в цьому високопрофільному проекті.
!
Такий рівень безпеки вразив і викликав занепокоєння в такому відомому проекті. Це не лише виявляє недбалість команди проекту в питаннях безпеки смарт-контрактів, але також б'є на сполох для всього ринку цифрових колекцій. Ця подія ще раз підкреслює важливість безпекових аудитів та перевірки коду в розробці блокчейн-проектів.
Для користувачів, які вже придбали ці цифрові колекційні предмети, це безсумнівно тривожна новина. Водночас це є важливим сигналом для інших традиційних установ, які входять або планують увійти на ринок цифрових колекцій: при впровадженні нових технологій необхідно приділяти увагу безпеці, щоб забезпечити належний захист прав користувачів.
!
Ми сподіваємось, що НБА зможе швидко вжити заходів для виправлення цього вразливості та посилення заходів безпеки своїх смарт-контрактів. Водночас це також можливість для всієї галузі переосмислити та вдосконалити свої підходи, щоб забезпечити більш безпечний та надійний запуск подібних проектів у майбутньому.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
6
Поділіться
Прокоментувати
0/400
BearMarketSurvivor
· 17год тому
Знову можна кліпові купони взяти, тікаю, тікаю.
Переглянути оригіналвідповісти на0
GateUser-e51e87c7
· 17год тому
І хакер, і безкоштовник, дійсно, ви такі.
Переглянути оригіналвідповісти на0
FunGibleTom
· 17год тому
Ще один смартконтракт впав у яму, не можу зупинити сміх.
Переглянути оригіналвідповісти на0
FUD_Whisperer
· 17год тому
Гравці контрактів знову збагатяться, чи не так?
Переглянути оригіналвідповісти на0
SillyWhale
· 17год тому
nba цей смартконтракт справді досить дурний
Переглянути оригіналвідповісти на0
GateUser-a606bf0c
· 18год тому
Як можна вийти в ланцюг, якщо навіть вразливості не виправлені?
У контракті цифрових колекцій NBA виявлено суттєву вразливість безпеки, що викликає занепокоєння щодо ризику мінтинг без витрат.
У контракті цифрових колекцій NBA існують серйозні вразливості безпеки
Нещодавно НБА представила серію цифрових колекцій, що викликало широкий інтерес на ринку. Однак під час продажу цих колекцій ми виявили тривожну проблему: смарт-контракт, відповідальний за продаж цих цифрових колекцій, має серйозні проблеми з безпекою. Ця вразливість може бути використана злочинними елементами для безкоштовного карбування колекцій та їх продажу з метою отримання неправомірної вигоди.
Основна проблема цього безпекового вразливості полягає в тому, що механізм перевірки підписів користувачів білого списку в контракті має недоліки. Конкретно, контракт не встановив достатніх заходів безпеки для забезпечення унікальності та спеціалізації підписів білого списку. Це означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для карбування колекцій, обходячи звичайний процес покупки.
З технічної точки зору, проблема полягає в реалізації функції verify. Ця функція під час перевірки підпису не включає адресу відправника транзакції в зміст підпису. Ще серйозніше, що контракт також не має механізму для забезпечення того, щоб кожен підпис можна було використовувати лише один раз. Це мали бути найосновніші практики безпеки в розробці програмного забезпечення, але вони були ігноровані в цьому високопрофільному проекті.
!
Такий рівень безпеки вразив і викликав занепокоєння в такому відомому проекті. Це не лише виявляє недбалість команди проекту в питаннях безпеки смарт-контрактів, але також б'є на сполох для всього ринку цифрових колекцій. Ця подія ще раз підкреслює важливість безпекових аудитів та перевірки коду в розробці блокчейн-проектів.
Для користувачів, які вже придбали ці цифрові колекційні предмети, це безсумнівно тривожна новина. Водночас це є важливим сигналом для інших традиційних установ, які входять або планують увійти на ринок цифрових колекцій: при впровадженні нових технологій необхідно приділяти увагу безпеці, щоб забезпечити належний захист прав користувачів.
!
Ми сподіваємось, що НБА зможе швидко вжити заходів для виправлення цього вразливості та посилення заходів безпеки своїх смарт-контрактів. Водночас це також можливість для всієї галузі переосмислити та вдосконалити свої підходи, щоб забезпечити більш безпечний та надійний запуск подібних проектів у майбутньому.