У NBA цифровых коллекционных предметов обнаружена серьезная уязвимость в смарт-контрактах, которая выявила риски безопасности проекта в процессе минтинга.
Недавно НБА выпустила ряд цифровых коллекционных предметов, но неожиданно оказалось, что в смарт-контрактах, продающих эти предметы, есть серьезные уязвимости. Люди с высоким уровнем технической подготовки могут использовать эту уязвимость, чтобы минтить предметы без каких-либо затрат, а затем получать прибыль от их продажи.
Корень этой уязвимости заключается в недостатках в дизайне механизма проверки подписей привилегированных пользователей. Конкретно, контракт не обеспечил, чтобы подписи привилегированных пользователей были одноразовыми и не связал их с конкретным пользователем. Таким образом, злоумышленники могут повторно использовать подписи других привилегированных пользователей для минтинга коллекционных предметов.
!
Из кода контракта видно, что функция верификации не включает адрес инициатора транзакции в содержимое подписи. Кроме того, контракт не реализует механизм предотвращения повторного использования подписи. Эти меры безопасности должны быть основополагающей нормой в разработке программного обеспечения. Удивительно, что такая очевидная уязвимость присутствует в проекте с таким высоким уровнем известности.
!
Это событие вновь напоминает нам, что даже проекты, запущенные крупными учреждениями, могут иметь серьезные проблемы с безопасностью. Для пользователей, участвующих в торговле цифровыми активами, крайне важно оставаться бдительными и тщательно оценивать безопасность каждого проекта. В то же время это подчеркивает неотложную потребность в высококачественном аудите безопасности в блокчейн-индустрии, а также необходимость постоянного обучения и улучшения практик безопасности команд разработчиков.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
8
Поделиться
комментарий
0/400
Drunkarboy10
· 7ч назад
Фирма HODL💎
Посмотреть ОригиналОтветить0
VenusLiquidity
· 7ч назад
Фирма HODL💎
Посмотреть ОригиналОтветить0
LowCapGemHunter
· 7ч назад
Снова взорвался? Проекты Блокчейн слишком уж непрофессиональны.
Посмотреть ОригиналОтветить0
RooftopReserver
· 7ч назад
Безопасность все равно нужно проверять! Убежал, убежал.
Посмотреть ОригиналОтветить0
GamefiEscapeArtist
· 7ч назад
Снова неудача с контрактами! Каждый год говорят о безопасности, каждый год видят уязвимости.
Посмотреть ОригиналОтветить0
APY追逐者
· 7ч назад
Снова обнаружена уязвимость в контракте, одна волна ещё не утихла, как пришла другая.
Посмотреть ОригиналОтветить0
governance_ghost
· 7ч назад
Безопасность - это основа, хорошо?
Посмотреть ОригиналОтветить0
DataBartender
· 7ч назад
Снова видим, как смарт-контракты терпят неудачу, вздыхая~
У NBA цифровых коллекционных предметов обнаружена серьезная уязвимость в смарт-контрактах, которая выявила риски безопасности проекта в процессе минтинга.
Недавно НБА выпустила ряд цифровых коллекционных предметов, но неожиданно оказалось, что в смарт-контрактах, продающих эти предметы, есть серьезные уязвимости. Люди с высоким уровнем технической подготовки могут использовать эту уязвимость, чтобы минтить предметы без каких-либо затрат, а затем получать прибыль от их продажи.
Корень этой уязвимости заключается в недостатках в дизайне механизма проверки подписей привилегированных пользователей. Конкретно, контракт не обеспечил, чтобы подписи привилегированных пользователей были одноразовыми и не связал их с конкретным пользователем. Таким образом, злоумышленники могут повторно использовать подписи других привилегированных пользователей для минтинга коллекционных предметов.
!
Из кода контракта видно, что функция верификации не включает адрес инициатора транзакции в содержимое подписи. Кроме того, контракт не реализует механизм предотвращения повторного использования подписи. Эти меры безопасности должны быть основополагающей нормой в разработке программного обеспечения. Удивительно, что такая очевидная уязвимость присутствует в проекте с таким высоким уровнем известности.
!
Это событие вновь напоминает нам, что даже проекты, запущенные крупными учреждениями, могут иметь серьезные проблемы с безопасностью. Для пользователей, участвующих в торговле цифровыми активами, крайне важно оставаться бдительными и тщательно оценивать безопасность каждого проекта. В то же время это подчеркивает неотложную потребность в высококачественном аудите безопасности в блокчейн-индустрии, а также необходимость постоянного обучения и улучшения практик безопасности команд разработчиков.