NBAは最近、一連のデジタルコレクションを発表しましたが、驚くべきことに、これらのコレクションを販売するスマートコントラクトに深刻な脆弱性が存在します。高度な技術を持つ人々は、この脆弱性を利用して、1セントも使わずにミンティングを行い、その後、販売によって利益を得ることができます。この脆弱性の根源は、特権ユーザーの署名検証メカニズムの設計に欠陥があることです。具体的には、契約は特権ユーザーの署名が一度限りであることを保証しておらず、特定のユーザーにバインドされていません。したがって、悪意のある者は他の特権ユーザーの署名を再利用してミンティングを行うことができます。! [](https://img-cdn.gateio.im/social/moments-3b4cab0f6f08f9428244a6f632daeec5)契約コードから明らかにわかるように、検証関数は取引の発起者のアドレスを署名内容に含めていません。さらに、契約には署名の再利用を防ぐメカニズムも実装されていません。これらのセキュリティ対策は、ソフトウェア開発における基本的な常識であるべきです。驚くべきことに、これほど明白な脆弱性が、これほど知名度の高いプロジェクトに存在するとは。! [](https://img-cdn.gateio.im/social/moments-0ad924d42b81d2420098807e5c18d565)この出来事は再び私たちに、大規模な機関が立ち上げるプロジェクトでさえ、深刻なセキュリティリスクが存在する可能性があることを思い出させます。デジタル資産取引に参加するユーザーにとっては、常に警戒を怠らず、各プロジェクトの安全性を慎重に評価することが重要です。同時に、これはブロックチェーン業界が高品質なセキュリティ監査を切実に必要としていること、また開発チームがセキュリティプラクティスを継続的に学び改善する必要性を浮き彫りにしています。
NBAデジタルコレクションスマートコントラクトに重大な脆弱性、ミンティングの脆弱性がプロジェクトの安全性のリスクを暴露
NBAは最近、一連のデジタルコレクションを発表しましたが、驚くべきことに、これらのコレクションを販売するスマートコントラクトに深刻な脆弱性が存在します。高度な技術を持つ人々は、この脆弱性を利用して、1セントも使わずにミンティングを行い、その後、販売によって利益を得ることができます。
この脆弱性の根源は、特権ユーザーの署名検証メカニズムの設計に欠陥があることです。具体的には、契約は特権ユーザーの署名が一度限りであることを保証しておらず、特定のユーザーにバインドされていません。したがって、悪意のある者は他の特権ユーザーの署名を再利用してミンティングを行うことができます。
!
契約コードから明らかにわかるように、検証関数は取引の発起者のアドレスを署名内容に含めていません。さらに、契約には署名の再利用を防ぐメカニズムも実装されていません。これらのセキュリティ対策は、ソフトウェア開発における基本的な常識であるべきです。驚くべきことに、これほど明白な脆弱性が、これほど知名度の高いプロジェクトに存在するとは。
!
この出来事は再び私たちに、大規模な機関が立ち上げるプロジェクトでさえ、深刻なセキュリティリスクが存在する可能性があることを思い出させます。デジタル資産取引に参加するユーザーにとっては、常に警戒を怠らず、各プロジェクトの安全性を慎重に評価することが重要です。同時に、これはブロックチェーン業界が高品質なセキュリティ監査を切実に必要としていること、また開発チームがセキュリティプラクティスを継続的に学び改善する必要性を浮き彫りにしています。