Son zamanlarda, ünlü bir spor ligi dijital koleksiyon serisini piyasaya sürdü, ancak bu adım endişe verici bir güvenlik açığını ortaya çıkardı. Yapılan dikkatli analizler sonucunda, bu projede dijital koleksiyonları satmak için kullanılan akıllı sözleşmelerin ciddi kusurlara sahip olduğu tespit edildi. Bu açık, kötü niyetli kişilerin sıfır maliyetle koleksiyon oluşturmasına ve bu yasadışı elde edilen koleksiyonları satarak kar elde etmesine olanak tanıdı.
Bu güvenlik açığının temel nedeni, beyaz liste kullanıcılarının imza doğrulama mekanizmasının tasarımındaki bir kusurdur. Daha spesifik olarak, sözleşme, beyaz liste imzalarının özel ve tek kullanımlık olmasını sağlayamamıştır. Bu, saldırganların diğer beyaz liste kullanıcılarının imzalarını tekrar kullanarak koleksiyonları mintleme yapmasına olanak tanır ve böylece mevcut güvenlik kısıtlamalarını aşar.
Sözleşme kodunun derinlemesine incelenmesiyle, verify fonksiyonunun tasarımında belirgin bir eksiklik olduğunu keşfettik. Bu fonksiyon, işlem başlatıcısının adresini imza doğrulama sürecine dahil etmemekte ve ayrıca imzanın tekrar kullanımını önleme mekanizmasından yoksundur. Bunlar temel güvenlik uygulamaları olmalıydı, ancak bu dikkat çeken projede göz ardı edilmiştir.
Bu seviyedeki güvenlik açıklarının böyle göz alıcı projelerde ortaya çıkması gerçekten de şaşırtıcı ve endişe verici. Bu durum, proje sahiplerinin akıllı sözleşmeler güvenliği konusundaki dikkatsizliğini ortaya koymakla kalmıyor, aynı zamanda blockchain proje geliştirme sürecinde en temel güvenlik prensiplerinin bile göz ardı edilebileceğini vurguluyor.
Bu olay şüphesiz tüm sektör için bir alarm zilleri çaldı. Bize hatırlatıyor ki, projenin ölçeği ne olursa olsun, akıllı sözleşmeler tasarlarken ve uygular iken güvenlik en iyi uygulamalarına sıkı sıkıya uyulmalıdır. Aynı zamanda, projenin yayına alınmasından önce kapsamlı ve profesyonel bir güvenlik denetiminin önemini de vurguluyor.
Kullanıcılar için bu durum, herhangi bir blockchain projesine katılırken dikkatli olmanın gerekliliğini bir kez daha kanıtlıyor. Tanınmış markaların desteklediği projelerde bile potansiyel güvenlik riskleri mevcut olabilir.
Genel olarak, bu olay sadece belirli projelerin sorunlarını değil, aynı zamanda sektörün güvenlik bilinci ve uygulamalarında hala gelişim alanları olduğunu da ortaya koyuyor. Bu, geliştiricileri, denetçileri ve projeleri, kullanıcı varlıklarının güvenliğini sağlamak ve tüm ekosistemin sağlıklı gelişimini temin etmek için akıllı sözleşmelerin güvenliğine daha fazla önem vermeye teşvik etmelidir.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
10 Likes
Reward
10
6
Share
Comment
0/400
SchrodingerAirdrop
· 07-24 09:35
Parayı basamıyorsan önce mühendisleri bir kazıklayalım.
View OriginalReply0
Whale_Whisperer
· 07-23 20:56
Yine izin listesi iyi tasarlanmamış, sebze.
View OriginalReply0
LuckyHashValue
· 07-23 08:52
Yine beyaz ** havuz. . .
View OriginalReply0
ZKSherlock
· 07-21 21:22
aslında... amatör düzeyde imza doğrulama. bu kriptografi 101, insanlar. nonce uygulaması nerede?
View OriginalReply0
MetaDreamer
· 07-21 21:19
İzin listesi doğrulaması iyi yapılmadı... Yemek annemin evine kadar gitti.
Ünlü spor birliği dijital koleksiyon projesi ciddi güvenlik açığı ortaya çıkardı. Sıfır maliyetle mintleme riski sektörde uyanışa neden oldu.
Son zamanlarda, ünlü bir spor ligi dijital koleksiyon serisini piyasaya sürdü, ancak bu adım endişe verici bir güvenlik açığını ortaya çıkardı. Yapılan dikkatli analizler sonucunda, bu projede dijital koleksiyonları satmak için kullanılan akıllı sözleşmelerin ciddi kusurlara sahip olduğu tespit edildi. Bu açık, kötü niyetli kişilerin sıfır maliyetle koleksiyon oluşturmasına ve bu yasadışı elde edilen koleksiyonları satarak kar elde etmesine olanak tanıdı.
Bu güvenlik açığının temel nedeni, beyaz liste kullanıcılarının imza doğrulama mekanizmasının tasarımındaki bir kusurdur. Daha spesifik olarak, sözleşme, beyaz liste imzalarının özel ve tek kullanımlık olmasını sağlayamamıştır. Bu, saldırganların diğer beyaz liste kullanıcılarının imzalarını tekrar kullanarak koleksiyonları mintleme yapmasına olanak tanır ve böylece mevcut güvenlik kısıtlamalarını aşar.
Sözleşme kodunun derinlemesine incelenmesiyle, verify fonksiyonunun tasarımında belirgin bir eksiklik olduğunu keşfettik. Bu fonksiyon, işlem başlatıcısının adresini imza doğrulama sürecine dahil etmemekte ve ayrıca imzanın tekrar kullanımını önleme mekanizmasından yoksundur. Bunlar temel güvenlik uygulamaları olmalıydı, ancak bu dikkat çeken projede göz ardı edilmiştir.
Bu seviyedeki güvenlik açıklarının böyle göz alıcı projelerde ortaya çıkması gerçekten de şaşırtıcı ve endişe verici. Bu durum, proje sahiplerinin akıllı sözleşmeler güvenliği konusundaki dikkatsizliğini ortaya koymakla kalmıyor, aynı zamanda blockchain proje geliştirme sürecinde en temel güvenlik prensiplerinin bile göz ardı edilebileceğini vurguluyor.
Bu olay şüphesiz tüm sektör için bir alarm zilleri çaldı. Bize hatırlatıyor ki, projenin ölçeği ne olursa olsun, akıllı sözleşmeler tasarlarken ve uygular iken güvenlik en iyi uygulamalarına sıkı sıkıya uyulmalıdır. Aynı zamanda, projenin yayına alınmasından önce kapsamlı ve profesyonel bir güvenlik denetiminin önemini de vurguluyor.
Kullanıcılar için bu durum, herhangi bir blockchain projesine katılırken dikkatli olmanın gerekliliğini bir kez daha kanıtlıyor. Tanınmış markaların desteklediği projelerde bile potansiyel güvenlik riskleri mevcut olabilir.
Genel olarak, bu olay sadece belirli projelerin sorunlarını değil, aynı zamanda sektörün güvenlik bilinci ve uygulamalarında hala gelişim alanları olduğunu da ortaya koyuyor. Bu, geliştiricileri, denetçileri ve projeleri, kullanıcı varlıklarının güvenliğini sağlamak ve tüm ekosistemin sağlıklı gelişimini temin etmek için akıllı sözleşmelerin güvenliğine daha fazla önem vermeye teşvik etmelidir.