NBA baru-baru ini meluncurkan serangkaian koleksi digital, namun yang mengejutkan adalah bahwa ada kerentanan serius dalam smart contract yang menjual koleksi ini. Orang-orang dengan keterampilan teknis yang tinggi dapat memanfaatkan kerentanan ini untuk mencetak koleksi tanpa mengeluarkan uang sepeser pun, dan kemudian mendapatkan keuntungan melalui penjualan.
Akar dari kerentanan ini terletak pada cacat desain mekanisme verifikasi tanda tangan pengguna istimewa. Secara spesifik, kontrak tidak memastikan bahwa tanda tangan pengguna istimewa adalah sekali pakai, dan juga tidak mengikatnya pada pengguna tertentu. Oleh karena itu, orang-orang yang berniat jahat dapat menggunakan kembali tanda tangan pengguna istimewa lainnya untuk pencetakan koleksi.
Dari kode kontrak, dapat dilihat dengan jelas bahwa fungsi verifikasi tidak memasukkan alamat pengirim transaksi ke dalam konten tanda tangan. Selain itu, kontrak juga tidak menerapkan mekanisme untuk mencegah penggunaan ulang tanda tangan. Langkah-langkah keamanan ini seharusnya menjadi pengetahuan dasar dalam pengembangan perangkat lunak. Yang mengejutkan, celah yang begitu jelas muncul dalam proyek yang memiliki reputasi sangat tinggi.
Peristiwa ini sekali lagi mengingatkan kita bahwa bahkan proyek yang diluncurkan oleh lembaga besar dapat memiliki risiko keamanan yang serius. Bagi pengguna yang terlibat dalam perdagangan aset digital, selalu waspada dan secara cermat mengevaluasi keamanan setiap proyek sangat penting. Selain itu, ini juga menyoroti kebutuhan mendesak dalam industri blockchain akan audit keamanan berkualitas tinggi, serta perlunya tim pengembang untuk terus belajar dan memperbaiki praktik keamanan.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
14 Suka
Hadiah
14
11
Bagikan
Komentar
0/400
GigaBrainAnon
· 07-25 04:11
audit smart contract tidak dapat diandalkan
Lihat AsliBalas0
AllInDaddy
· 07-25 02:13
smart contract tidak ada yang aman, kan?
Lihat AsliBalas0
LiquidationWatcher
· 07-24 02:46
bukan rodeo pertamamu ya nba? sudah ada di sana, sudah merasakannya... mimpi buruk kontrak pintar membuatku mengalami PTSD fr fr
Lihat AsliBalas0
Drunkarboy10
· 07-23 13:12
Kukuhkan HODL💎
Lihat AsliBalas0
VenusLiquidity
· 07-23 13:10
Kukuhkan HODL💎
Lihat AsliBalas0
LowCapGemHunter
· 07-23 13:03
Lagi meledak? Proyek blockchain ini terlalu amatir.
Lihat AsliBalas0
RooftopReserver
· 07-23 13:02
Keamanannya tetap harus diaudit! Pergi, pergi!
Lihat AsliBalas0
GamefiEscapeArtist
· 07-23 12:57
Kembali melihat kontrak gagal! Setiap tahun membicarakan keamanan, setiap tahun melihat celah.
Lihat AsliBalas0
APY追逐者
· 07-23 12:56
Sekali lagi melihat celah kontrak, benar-benar satu gelombang belum reda, gelombang lain sudah datang.
Kontrak pintar koleksi digital NBA kini memiliki kerentanan besar. Kerentanan dalam pencetakan mengekspos risiko keamanan proyek.
NBA baru-baru ini meluncurkan serangkaian koleksi digital, namun yang mengejutkan adalah bahwa ada kerentanan serius dalam smart contract yang menjual koleksi ini. Orang-orang dengan keterampilan teknis yang tinggi dapat memanfaatkan kerentanan ini untuk mencetak koleksi tanpa mengeluarkan uang sepeser pun, dan kemudian mendapatkan keuntungan melalui penjualan.
Akar dari kerentanan ini terletak pada cacat desain mekanisme verifikasi tanda tangan pengguna istimewa. Secara spesifik, kontrak tidak memastikan bahwa tanda tangan pengguna istimewa adalah sekali pakai, dan juga tidak mengikatnya pada pengguna tertentu. Oleh karena itu, orang-orang yang berniat jahat dapat menggunakan kembali tanda tangan pengguna istimewa lainnya untuk pencetakan koleksi.
Dari kode kontrak, dapat dilihat dengan jelas bahwa fungsi verifikasi tidak memasukkan alamat pengirim transaksi ke dalam konten tanda tangan. Selain itu, kontrak juga tidak menerapkan mekanisme untuk mencegah penggunaan ulang tanda tangan. Langkah-langkah keamanan ini seharusnya menjadi pengetahuan dasar dalam pengembangan perangkat lunak. Yang mengejutkan, celah yang begitu jelas muncul dalam proyek yang memiliki reputasi sangat tinggi.
Peristiwa ini sekali lagi mengingatkan kita bahwa bahkan proyek yang diluncurkan oleh lembaga besar dapat memiliki risiko keamanan yang serius. Bagi pengguna yang terlibat dalam perdagangan aset digital, selalu waspada dan secara cermat mengevaluasi keamanan setiap proyek sangat penting. Selain itu, ini juga menyoroti kebutuhan mendesak dalam industri blockchain akan audit keamanan berkualitas tinggi, serta perlunya tim pengembang untuk terus belajar dan memperbaiki praktik keamanan.