НБА нещодавно представила серію цифрових колекцій, але несподівано виявилося, що в смартконтрактах, що використовуються для продажу цих колекцій, є серйозні вразливості. Люди з високими технічними навичками можуть скористатися цією вразливістю, щоб мінтингувати колекції безкоштовно, а потім отримувати прибуток від їх продажу.
Ця вразливість викликана недоліками в проектуванні механізму перевірки підписів привілейованих користувачів. Зокрема, контракт не забезпечив одноразовість підпису привілейованого користувача і не зв'язав його з конкретним користувачем. Таким чином, зловмисники можуть повторно використовувати підписи інших привілейованих користувачів для мінтингу колекцій.
!
З коду контракту можна чітко побачити, що функція перевірки не включає адресу ініціатора угоди до змісту підпису. Крім того, контракт також не реалізує механізм запобігання повторному використанню підписів. Ці заходи безпеки мали б бути базовими знаннями в розробці програмного забезпечення. Вражає, що настільки очевидна вразливість з'явилася в проекті, який має таку високу популярність.
!
Ця подія ще раз нагадує нам, що навіть проекти, запущені великими інститутами, можуть мати серйозні проблеми безпеки. Для користувачів, які беруть участь у торгівлі цифровими активами, надзвичайно важливо залишатися пильними та ретельно оцінювати безпеку кожного проекту. Водночас це підкреслює термінову потребу в якісних перевірках безпеки в індустрії блокчейн, а також необхідність постійного навчання команди розробників та вдосконалення практик безпеки.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
8
Поділіться
Прокоментувати
0/400
Drunkarboy10
· 7год тому
Твердо HODL💎
Переглянути оригіналвідповісти на0
VenusLiquidity
· 7год тому
Твердо HODL💎
Переглянути оригіналвідповісти на0
LowCapGemHunter
· 7год тому
Знову вибух? Проекти Блокчейн занадто аматорські.
Переглянути оригіналвідповісти на0
RooftopReserver
· 7год тому
Безпеку все ж потрібно перевіряти! Пішов, пішов!
Переглянути оригіналвідповісти на0
GamefiEscapeArtist
· 7год тому
Знову бачимо крах контракту! Щороку говоримо про безпеку, щороку бачимо вразливості.
Переглянути оригіналвідповісти на0
APY追逐者
· 7год тому
Знову бачимо вразливість у контракті, дійсно, одна хвиля не вщухла, як з'являється інша.
Переглянути оригіналвідповісти на0
governance_ghost
· 7год тому
Безпека - це основа, добре?
Переглянути оригіналвідповісти на0
DataBartender
· 7год тому
Знову бачимо, як смартконтракти зазнають краху, зітхаючи~
У смартконтрактах цифрових колекцій НБА виявлено суттєву вразливість, що відкриває ризики для безпеки проєкту через мінтинг.
НБА нещодавно представила серію цифрових колекцій, але несподівано виявилося, що в смартконтрактах, що використовуються для продажу цих колекцій, є серйозні вразливості. Люди з високими технічними навичками можуть скористатися цією вразливістю, щоб мінтингувати колекції безкоштовно, а потім отримувати прибуток від їх продажу.
Ця вразливість викликана недоліками в проектуванні механізму перевірки підписів привілейованих користувачів. Зокрема, контракт не забезпечив одноразовість підпису привілейованого користувача і не зв'язав його з конкретним користувачем. Таким чином, зловмисники можуть повторно використовувати підписи інших привілейованих користувачів для мінтингу колекцій.
!
З коду контракту можна чітко побачити, що функція перевірки не включає адресу ініціатора угоди до змісту підпису. Крім того, контракт також не реалізує механізм запобігання повторному використанню підписів. Ці заходи безпеки мали б бути базовими знаннями в розробці програмного забезпечення. Вражає, що настільки очевидна вразливість з'явилася в проекті, який має таку високу популярність.
!
Ця подія ще раз нагадує нам, що навіть проекти, запущені великими інститутами, можуть мати серйозні проблеми безпеки. Для користувачів, які беруть участь у торгівлі цифровими активами, надзвичайно важливо залишатися пильними та ретельно оцінювати безпеку кожного проекту. Водночас це підкреслює термінову потребу в якісних перевірках безпеки в індустрії блокчейн, а також необхідність постійного навчання команди розробників та вдосконалення практик безпеки.