Hợp đồng bộ sưu tập số NBA có lỗ hổng bảo mật nghiêm trọng
Gần đây, NBA đã ra mắt một loạt các bộ sưu tập kỹ thuật số, thu hút sự chú ý rộng rãi từ thị trường. Tuy nhiên, trong quá trình bán những bộ sưu tập này, chúng tôi phát hiện một vấn đề đáng lo ngại: hợp đồng thông minh chịu trách nhiệm bán những bộ sưu tập kỹ thuật số này có lỗ hổng bảo mật nghiêm trọng. Lỗ hổng này có thể bị kẻ xấu lợi dụng để đúc bộ sưu tập mà không tốn chi phí và bán chúng để thu lợi bất chính.
Vấn đề cốt lõi của lỗ hổng bảo mật này là cơ chế xác thực chữ ký của hợp đồng đối với người dùng trong danh sách trắng có khuyết điểm. Cụ thể, hợp đồng không thiết lập đủ biện pháp bảo mật để đảm bảo tính duy nhất và tính chất riêng biệt của chữ ký trong danh sách trắng. Điều này có nghĩa là, kẻ tấn công có thể sử dụng lại chữ ký của người dùng khác trong danh sách trắng để đúc các sản phẩm, từ đó vượt qua quy trình mua hàng thông thường.
Từ góc độ kỹ thuật, vấn đề nằm ở việc thực hiện hàm verify. Hàm này khi thực hiện xác thực chữ ký không đưa địa chỉ của người gửi giao dịch vào nội dung chữ ký. Thậm chí nghiêm trọng hơn, hợp đồng cũng không thiết lập cơ chế để đảm bảo mỗi chữ ký chỉ được sử dụng một lần. Những điều này lẽ ra là các thực hành bảo mật cơ bản nhất trong phát triển phần mềm, nhưng lại bị bỏ qua trong dự án nổi tiếng này.
Sự cố bảo mật ở cấp độ này xuất hiện trong một dự án nổi tiếng như vậy thật sự khiến người ta cảm thấy bất ngờ và lo lắng. Nó không chỉ phơi bày sự tắc trách của nhóm dự án trong việc đảm bảo an toàn cho hợp đồng thông minh, mà còn gióng lên hồi chuông cảnh báo cho toàn bộ thị trường tài sản số. Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của việc kiểm toán bảo mật và xem xét mã trong phát triển dự án blockchain.
Đối với những người dùng đã mua những bộ sưu tập kỹ thuật số này, đây chắc chắn là một tin tức đáng lo ngại. Đồng thời, nó cũng là một cảnh báo quan trọng cho các tổ chức truyền thống khác đang hoặc có kế hoạch tham gia vào thị trường bộ sưu tập kỹ thuật số: khi đón nhận công nghệ mới, cần phải đặc biệt chú trọng đến sự an toàn, đảm bảo quyền lợi của người dùng được bảo vệ đầy đủ.
Chúng tôi hy vọng NBA có thể nhanh chóng hành động để sửa chữa lỗ hổng này và tăng cường các biện pháp an ninh cho hợp đồng thông minh của mình. Đồng thời, đây cũng là cơ hội để toàn ngành suy ngẫm và cải tiến, nhằm đảm bảo rằng các dự án tương tự trong tương lai có thể được ra mắt một cách an toàn và đáng tin cậy hơn.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
17 thích
Phần thưởng
17
6
Chia sẻ
Bình luận
0/400
BearMarketSurvivor
· 18giờ trước
Lại có Phiếu giảm giá rồi, đi thôi đi thôi!
Xem bản gốcTrả lời0
GateUser-e51e87c7
· 18giờ trước
Hacker và ăn chực thật sự có các bạn.
Xem bản gốcTrả lời0
FunGibleTom
· 18giờ trước
Lại một hợp đồng thông minh rơi vào hố rồi, không nhịn được cười.
Hợp đồng bộ sưu tập kỹ thuật số NBA hiện có lỗ hổng bảo mật nghiêm trọng, rủi ro đang đúc không tốn chi phí gây lo ngại.
Hợp đồng bộ sưu tập số NBA có lỗ hổng bảo mật nghiêm trọng
Gần đây, NBA đã ra mắt một loạt các bộ sưu tập kỹ thuật số, thu hút sự chú ý rộng rãi từ thị trường. Tuy nhiên, trong quá trình bán những bộ sưu tập này, chúng tôi phát hiện một vấn đề đáng lo ngại: hợp đồng thông minh chịu trách nhiệm bán những bộ sưu tập kỹ thuật số này có lỗ hổng bảo mật nghiêm trọng. Lỗ hổng này có thể bị kẻ xấu lợi dụng để đúc bộ sưu tập mà không tốn chi phí và bán chúng để thu lợi bất chính.
Vấn đề cốt lõi của lỗ hổng bảo mật này là cơ chế xác thực chữ ký của hợp đồng đối với người dùng trong danh sách trắng có khuyết điểm. Cụ thể, hợp đồng không thiết lập đủ biện pháp bảo mật để đảm bảo tính duy nhất và tính chất riêng biệt của chữ ký trong danh sách trắng. Điều này có nghĩa là, kẻ tấn công có thể sử dụng lại chữ ký của người dùng khác trong danh sách trắng để đúc các sản phẩm, từ đó vượt qua quy trình mua hàng thông thường.
Từ góc độ kỹ thuật, vấn đề nằm ở việc thực hiện hàm verify. Hàm này khi thực hiện xác thực chữ ký không đưa địa chỉ của người gửi giao dịch vào nội dung chữ ký. Thậm chí nghiêm trọng hơn, hợp đồng cũng không thiết lập cơ chế để đảm bảo mỗi chữ ký chỉ được sử dụng một lần. Những điều này lẽ ra là các thực hành bảo mật cơ bản nhất trong phát triển phần mềm, nhưng lại bị bỏ qua trong dự án nổi tiếng này.
Sự cố bảo mật ở cấp độ này xuất hiện trong một dự án nổi tiếng như vậy thật sự khiến người ta cảm thấy bất ngờ và lo lắng. Nó không chỉ phơi bày sự tắc trách của nhóm dự án trong việc đảm bảo an toàn cho hợp đồng thông minh, mà còn gióng lên hồi chuông cảnh báo cho toàn bộ thị trường tài sản số. Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của việc kiểm toán bảo mật và xem xét mã trong phát triển dự án blockchain.
Đối với những người dùng đã mua những bộ sưu tập kỹ thuật số này, đây chắc chắn là một tin tức đáng lo ngại. Đồng thời, nó cũng là một cảnh báo quan trọng cho các tổ chức truyền thống khác đang hoặc có kế hoạch tham gia vào thị trường bộ sưu tập kỹ thuật số: khi đón nhận công nghệ mới, cần phải đặc biệt chú trọng đến sự an toàn, đảm bảo quyền lợi của người dùng được bảo vệ đầy đủ.
Chúng tôi hy vọng NBA có thể nhanh chóng hành động để sửa chữa lỗ hổng này và tăng cường các biện pháp an ninh cho hợp đồng thông minh của mình. Đồng thời, đây cũng là cơ hội để toàn ngành suy ngẫm và cải tiến, nhằm đảm bảo rằng các dự án tương tự trong tương lai có thể được ra mắt một cách an toàn và đáng tin cậy hơn.