НБА нещодавно випустила ряд цифрових колекцій, але після детального аналізу ми виявили суттєві проблеми безпеки у їхніх продажних контрактах. Ця вразливість дозволяє зловмисним користувачам безкоштовно мінтити колекції та отримувати неправомірні вигоди шляхом їх продажу.
Проблема полягає в дефектах механізму перевірки підписів користувачів білого списку. Контракт не забезпечив ексклюзивність і одноразове використання підписів білого списку, що дозволило зловмисникам повторно використовувати підписи інших користувачів білого списку для мінтингів колекцій.
З контрактного коду видно, що функція верифікації не включає адресу ініціатора транзакції до змісту підпису. Водночас, також відсутній механізм, що запобігає повторному використанню підпису. Ці основні заходи безпеки мали б бути загальновідомими в програмній інженерії.
!
Дивно, але така очевидна уразливість з'явилася в дуже помітному проекті. Це не лише виявило недбальство команди проекту в перевірці безпеки, але й підкреслило виклики, з якими стикаються блокчейн-проекти в питаннях безпеки коду.
Ця подія ще раз нагадує нам, що навіть великі та відомі проекти можуть мати базові проблеми з безпекою. Для блокчейн-проектів особливо важливо проводити аудит безпеки коду та постійно здійснювати виявлення вразливостей. Водночас це також б'є на сполох для всієї галузі, закликаючи всі сторони більше зосереджуватися на забезпеченні безпеки смарт-контрактів.
!
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
6
Репост
Поділіться
Прокоментувати
0/400
GasFeeThunder
· 6год тому
Ще одна копія, яка потрапила в пастку 12 квітня. Дані в руках, але все ще бездіяльні.
Переглянути оригіналвідповісти на0
ChainDetective
· 12год тому
Захопливо, що такий баг для новачків також зміг потрапити в реліз.
Переглянути оригіналвідповісти на0
WhaleSurfer
· 12год тому
Не вміючи розробляти, ще й наважуються взяти це замовлення в NBA.
Переглянути оригіналвідповісти на0
RugPullAlarm
· 12год тому
Справді, взяли невдахи для практики, навіть початковий аудит не провели.
Переглянути оригіналвідповісти на0
BlockchainGriller
· 12год тому
Гарно дивитися на виставу, як інших обдурюють, як лохів.
Переглянути оригіналвідповісти на0
OnchainHolmes
· 12год тому
Виявляється, дозволений список можна копіювати та вставляти, хто завгодно може обдурювати людей, як лохів.
У контракті цифрових колекцій НБА виявлено серйозну вразливість безпеки, Дозволений список перевірки має дефекти.
НБА нещодавно випустила ряд цифрових колекцій, але після детального аналізу ми виявили суттєві проблеми безпеки у їхніх продажних контрактах. Ця вразливість дозволяє зловмисним користувачам безкоштовно мінтити колекції та отримувати неправомірні вигоди шляхом їх продажу.
Проблема полягає в дефектах механізму перевірки підписів користувачів білого списку. Контракт не забезпечив ексклюзивність і одноразове використання підписів білого списку, що дозволило зловмисникам повторно використовувати підписи інших користувачів білого списку для мінтингів колекцій.
З контрактного коду видно, що функція верифікації не включає адресу ініціатора транзакції до змісту підпису. Водночас, також відсутній механізм, що запобігає повторному використанню підпису. Ці основні заходи безпеки мали б бути загальновідомими в програмній інженерії.
!
Дивно, але така очевидна уразливість з'явилася в дуже помітному проекті. Це не лише виявило недбальство команди проекту в перевірці безпеки, але й підкреслило виклики, з якими стикаються блокчейн-проекти в питаннях безпеки коду.
Ця подія ще раз нагадує нам, що навіть великі та відомі проекти можуть мати базові проблеми з безпекою. Для блокчейн-проектів особливо важливо проводити аудит безпеки коду та постійно здійснювати виявлення вразливостей. Водночас це також б'є на сполох для всієї галузі, закликаючи всі сторони більше зосереджуватися на забезпеченні безпеки смарт-контрактів.
!