Son zamanlarda, büyük bir spor ligi kendi dijital koleksiyon serisini tanıttı, ancak bu hamle ciddi bir güvenlik açığını ortaya çıkardı. Derinlemesine bir araştırma sonucunda, bu seri dijital koleksiyonların akıllı sözleşmelerinde önemli bir açığın bulunduğunu ve bu sayede kötü niyetli kişilerin koleksiyonları maliyetsiz bir şekilde elde etme ve bunlardan kar elde etme fırsatına sahip olduğunu keşfettik.
Bu açığın kaynağı, sözleşmenin beyaz liste kullanıcılarının imza doğrulama mekanizmasındaki bir hatadır. Özellikle, sözleşme beyaz liste imzasının özel ve tek kullanımlık olmasını sağlamamıştır. Bu, saldırganların diğer beyaz liste kullanıcılarının imzalarını yeniden kullanarak koleksiyonları basabilmesine olanak tanır.
Teknik açıdan bakıldığında, verify fonksiyonunun tasarımında belirgin bir eksiklik var; işlem göndereninin adresi imza doğrulama sürecine dahil edilmemiş. Aynı zamanda, sözleşme de imzanın tekrar kullanımını önleyecek bir mekanizmadan yoksun. Bunlar temel yazılım güvenlik önlemleri olmalıydı, ancak bu dikkat çekici projede göz ardı edilmiş, bu da gerçekten kafa karıştırıcı.
Bu olay, blockchain projeleri geliştirirken, tanınmış kuruluşların temel güvenlik uygulamalarında ihmal yapabileceğini vurguluyor. Akıllı sözleşmelerin tasarımı ve uygulanması sürecinde güvenlik en iyi uygulamalarına sıkı bir şekilde uyulmasının önemini bir kez daha vurguluyor. Dijital koleksiyon pazarındaki katılımcılar için bu, şüphesiz bir alarmdır; ilgili projelere katılırken daha dikkatli olmaları ve projelerin teknik uygulamalarına yüksek dikkat göstermeleri gerektiğini hatırlatır.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
13 Likes
Reward
13
5
Share
Comment
0/400
OldLeekMaster
· 07-25 02:08
Küçük mavi şapka, sonra konuşuruz.
View OriginalReply0
DAOplomacy
· 07-25 01:10
tartışmasız başka bir durum, sub-optimal teşvik yapıların devreye girmesi... yol bağımlılığı tekrar vuruyor, açıkçası
View OriginalReply0
Ser_APY_2000
· 07-25 01:06
Sözleşme hiç güvenlik bilincine sahip değil, ne zaman yok olacağını bile bilmiyor.
View OriginalReply0
BoredWatcher
· 07-25 01:04
Yine de en başından kodu elle yazmak daha iyi olurdu.
Büyük spor ligleri dijital koleksiyon sözleşmesi açığı ifşa edildi, güvenlik risklerini ortaya koyuyor.
Son zamanlarda, büyük bir spor ligi kendi dijital koleksiyon serisini tanıttı, ancak bu hamle ciddi bir güvenlik açığını ortaya çıkardı. Derinlemesine bir araştırma sonucunda, bu seri dijital koleksiyonların akıllı sözleşmelerinde önemli bir açığın bulunduğunu ve bu sayede kötü niyetli kişilerin koleksiyonları maliyetsiz bir şekilde elde etme ve bunlardan kar elde etme fırsatına sahip olduğunu keşfettik.
Bu açığın kaynağı, sözleşmenin beyaz liste kullanıcılarının imza doğrulama mekanizmasındaki bir hatadır. Özellikle, sözleşme beyaz liste imzasının özel ve tek kullanımlık olmasını sağlamamıştır. Bu, saldırganların diğer beyaz liste kullanıcılarının imzalarını yeniden kullanarak koleksiyonları basabilmesine olanak tanır.
Teknik açıdan bakıldığında, verify fonksiyonunun tasarımında belirgin bir eksiklik var; işlem göndereninin adresi imza doğrulama sürecine dahil edilmemiş. Aynı zamanda, sözleşme de imzanın tekrar kullanımını önleyecek bir mekanizmadan yoksun. Bunlar temel yazılım güvenlik önlemleri olmalıydı, ancak bu dikkat çekici projede göz ardı edilmiş, bu da gerçekten kafa karıştırıcı.
Bu olay, blockchain projeleri geliştirirken, tanınmış kuruluşların temel güvenlik uygulamalarında ihmal yapabileceğini vurguluyor. Akıllı sözleşmelerin tasarımı ve uygulanması sürecinde güvenlik en iyi uygulamalarına sıkı bir şekilde uyulmasının önemini bir kez daha vurguluyor. Dijital koleksiyon pazarındaki katılımcılar için bu, şüphesiz bir alarmdır; ilgili projelere katılırken daha dikkatli olmaları ve projelerin teknik uygulamalarına yüksek dikkat göstermeleri gerektiğini hatırlatır.