مؤخراً، أطلق اتحاد رياضي مشهور سلسلة من المقتنيات الرقمية، لكن هذه الخطوة كشفت عن ثغرة أمنية مقلقة. بعد تحليل دقيق، اكتشفنا أن العقود الذكية المستخدمة في بيع المقتنيات الرقمية تحتوي على عيوب خطيرة. هذه الثغرة سمحت للجهات الخبيثة بصك المقتنيات بتكلفة صفر، وتحقيق الربح من خلال بيع هذه المقتنيات التي تم الحصول عليها بشكل غير قانوني.
!
السبب الجذري لهذه الثغرة الأمنية يكمن في عيب تصميم آلية التحقق من توقيع مستخدمي القائمة البيضاء. وبالتحديد، لم يضمن العقد خاصية التوقيع الفريد والاستخدام لمرة واحدة لمستخدمي القائمة البيضاء. وهذا يعني أن المهاجمين يمكنهم إعادة استخدام توقيعات مستخدمين آخرين في القائمة البيضاء للسكّ القطع، مما يتجاوز القيود الأمنية الأصلية.
من خلال مراجعة متعمقة لشفرة العقد، وجدنا أن وظيفة verify تعاني من عيوب واضحة في تصميمها. لم تأخذ هذه الوظيفة عنوان مُقدّم المعاملة في عملية التحقق من التوقيع، كما أنها تفتقر إلى آلية لمنع إعادة استخدام التوقيع. كان ينبغي أن تكون هذه ممارسات أمنية أساسية، لكنها تم تجاهلها في هذا المشروع الذي يحظى باهتمام كبير.
ظهور ثغرات أمنية بهذا المستوى في مشاريع بهذا الحجم يثير الدهشة والقلق. فهي لا تكشف فقط عن إهمال فريق المشروع في أمان العقود الذكية، بل تسلط الضوء أيضًا على أنه حتى أبسط المبادئ الأمنية يمكن أن تُهمل خلال عملية تطوير مشاريع البلوك تشين.
هذا الحدث بلا شك يقرع جرس الإنذار في جميع أنحاء الصناعة. إنه يذكرنا أنه بغض النظر عن حجم المشروع، يجب الالتزام الصارم بأفضل ممارسات الأمان عند تصميم وتنفيذ العقود الذكية. في نفس الوقت، فإنه يبرز أهمية إجراء تدقيق أمني شامل واحترافي قبل إطلاق المشروع.
بالنسبة للمستخدمين، تثبت هذه الحالة مرة أخرى ضرورة توخي الحذر عند الانخراط في أي مشروع من مشاريع البلوكشين. حتى المشاريع المدعومة من علامات تجارية معروفة قد تحتوي على مخاطر أمان محتملة.
بشكل عام، لا يكشف هذا الحدث عن مشاكل معينة في المشاريع فحسب، بل هو أيضًا تجسيد لفرص التحسين التي لا تزال موجودة في الوعي والممارسات الأمنية في الصناعة بأكملها. يجب أن يحفز ذلك المطورين والمراجعين وأصحاب المشاريع على إعطاء أهمية أكبر لأمان العقود الذكية، لضمان أمان أصول المستخدمين وصحة تطور النظام البيئي بأكمله.
!
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 8
أعجبني
8
4
مشاركة
تعليق
0/400
LuckyHashValue
· منذ 4 س
جاءت إلى بركة بيضاء مرة أخرى...
شاهد النسخة الأصليةرد0
ZKSherlock
· 07-21 21:22
في الواقع... التحقق من التوقيع على مستوى الهواة. هذه هي علم التشفير 101، يا جماعة. أين تنفيذ nonce؟
شاهد النسخة الأصليةرد0
MetaDreamer
· 07-21 21:19
قائمة السماح لم يتم معالجتها بشكل جيد... وصلت إلى منزل الجدة
مشروع المقتنيات الرقمية لرابطة الرياضة المعروفة يكشف عن ثغرات أمنية خطيرة ، مما أثار إنذارًا في الصناعة بشأن مخاطر السك بدون تكلفة.
مؤخراً، أطلق اتحاد رياضي مشهور سلسلة من المقتنيات الرقمية، لكن هذه الخطوة كشفت عن ثغرة أمنية مقلقة. بعد تحليل دقيق، اكتشفنا أن العقود الذكية المستخدمة في بيع المقتنيات الرقمية تحتوي على عيوب خطيرة. هذه الثغرة سمحت للجهات الخبيثة بصك المقتنيات بتكلفة صفر، وتحقيق الربح من خلال بيع هذه المقتنيات التي تم الحصول عليها بشكل غير قانوني.
!
السبب الجذري لهذه الثغرة الأمنية يكمن في عيب تصميم آلية التحقق من توقيع مستخدمي القائمة البيضاء. وبالتحديد، لم يضمن العقد خاصية التوقيع الفريد والاستخدام لمرة واحدة لمستخدمي القائمة البيضاء. وهذا يعني أن المهاجمين يمكنهم إعادة استخدام توقيعات مستخدمين آخرين في القائمة البيضاء للسكّ القطع، مما يتجاوز القيود الأمنية الأصلية.
من خلال مراجعة متعمقة لشفرة العقد، وجدنا أن وظيفة verify تعاني من عيوب واضحة في تصميمها. لم تأخذ هذه الوظيفة عنوان مُقدّم المعاملة في عملية التحقق من التوقيع، كما أنها تفتقر إلى آلية لمنع إعادة استخدام التوقيع. كان ينبغي أن تكون هذه ممارسات أمنية أساسية، لكنها تم تجاهلها في هذا المشروع الذي يحظى باهتمام كبير.
ظهور ثغرات أمنية بهذا المستوى في مشاريع بهذا الحجم يثير الدهشة والقلق. فهي لا تكشف فقط عن إهمال فريق المشروع في أمان العقود الذكية، بل تسلط الضوء أيضًا على أنه حتى أبسط المبادئ الأمنية يمكن أن تُهمل خلال عملية تطوير مشاريع البلوك تشين.
هذا الحدث بلا شك يقرع جرس الإنذار في جميع أنحاء الصناعة. إنه يذكرنا أنه بغض النظر عن حجم المشروع، يجب الالتزام الصارم بأفضل ممارسات الأمان عند تصميم وتنفيذ العقود الذكية. في نفس الوقت، فإنه يبرز أهمية إجراء تدقيق أمني شامل واحترافي قبل إطلاق المشروع.
بالنسبة للمستخدمين، تثبت هذه الحالة مرة أخرى ضرورة توخي الحذر عند الانخراط في أي مشروع من مشاريع البلوكشين. حتى المشاريع المدعومة من علامات تجارية معروفة قد تحتوي على مخاطر أمان محتملة.
بشكل عام، لا يكشف هذا الحدث عن مشاكل معينة في المشاريع فحسب، بل هو أيضًا تجسيد لفرص التحسين التي لا تزال موجودة في الوعي والممارسات الأمنية في الصناعة بأكملها. يجب أن يحفز ذلك المطورين والمراجعين وأصحاب المشاريع على إعطاء أهمية أكبر لأمان العقود الذكية، لضمان أمان أصول المستخدمين وصحة تطور النظام البيئي بأكمله.
!