مؤخراً، أطلقت رابطة كرة السلة الوطنية (NBA) سلسلة من المقتنيات الرقمية، مما أثار اهتماماً واسعاً في السوق. ومع ذلك، اكتشف خبراء الأمن وجود ثغرات كبيرة في عقود بيع هذه المقتنيات الرقمية. قد يتم استغلال هذه الثغرات من قبل الأفراد غير القانونيين لصك المقتنيات دون أي تكلفة وتحقيق أرباح من ذلك.
!
السبب الجذري لهذه الثغرة الأمنية هو وجود عيب في آلية التحقق من توقيع المستخدمين في القائمة البيضاء من قبل العقد. بشكل أكثر تحديدًا، فشل العقد في ضمان خصوصية توقيع القائمة البيضاء واستخدامه لمرة واحدة. وهذا يعني أن المهاجمين يمكنهم إعادة استخدام توقيع مستخدمين آخرين في القائمة البيضاء لصك المقتنيات.
من الناحية التقنية، يوجد عيب واضح في تصميم دالة verify في العقد. هذه الدالة عند إجراء التحقق من التوقيع، لم تشمل عنوان المرسل ضمن محتوى التوقيع، كما أنها تفتقر إلى آلية لمنع إعادة استخدام التوقيع. هذه الأمور يجب أن تكون جزءاً من أسس أمان البرمجيات، لكنها تم تجاهلها في مشروع معروف إلى هذا الحد، مما يثير الدهشة حقاً.
تسلط هذه الحادثة الضوء مرة أخرى على أهمية التدقيق الأمني في تطوير مشاريع البلوكشين. حتى المنظمات الكبيرة مثل NBA قد تواجه ثغرات خلال عملية التنفيذ التكنولوجي. يجب على جميع الأطراف المشاركة في سوق المقتنيات الرقمية، سواء كانت جهات إصدار أو مشترين، أن تكون أكثر يقظة وأن تركز على الأمان التقني للمشاريع.
في الوقت نفسه، يقرع هذا جرس إنذار لصناعة بأكملها. مع التطور السريع لسوق المقتنيات الرقمية، هناك حاجة ملحّة لإنشاء وتحسين المعايير الأمنية والممارسات المثلى ذات الصلة. يجب على فرق التطوير أن تعطي أهمية أكبر لتنفيذ التدابير الأمنية الأساسية، بما في ذلك على سبيل المثال لا الحصر، تنفيذ آليات التحقق من التوقيع، ومنع هجمات إعادة التشغيل.
!
بشكل عام، فإن حادثة ثغرة عقد NBA الرقمي لمقتنيات، لم تكشف فقط عن العيوب التقنية في المشروع المحدد، بل تعكس أيضًا نقص الوعي والممارسة في مجال الأمان في الصناعة بأكملها. نأمل أن يؤدي هذا الحادث إلى دفع الأطراف في الصناعة إلى إيلاء المزيد من الاهتمام لسلامة مشاريع blockchain، وبناء نظام بيئي لمقتنيات رقمية أكثر أمانًا وموثوقية.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 17
أعجبني
17
4
إعادة النشر
مشاركة
تعليق
0/400
HorizonHunter
· منذ 7 س
هل هذا يستحق أن يسمى تدقيق العقد؟
شاهد النسخة الأصليةرد0
ThesisInvestor
· 08-06 07:35
هذا غير معقول بعض الشيء، هل يوجد ثغرة بهذا الأساس في العقد؟؟
شاهد النسخة الأصليةرد0
LayerZeroHero
· 08-06 07:16
مرة أخرى حدث خطأ في دالة verify، كيف تجرؤ على اختبار مثل هذا الخطأ على الشبكة الرئيسية.
شاهد النسخة الأصليةرد0
StakeTillRetire
· 08-06 07:11
هل ما زال هذا متاحًا؟ أليس من المفترض أن يكون كاتب العقد متدربًا؟
يوجد ثغرة كبيرة في عقد مجموعة NBA الرقمية، وآلية السك تحتوي على مخاطر أمنية.
توجد ثغرات أمنية خطيرة في عقد NBA للقطع الرقمية
مؤخراً، أطلقت رابطة كرة السلة الوطنية (NBA) سلسلة من المقتنيات الرقمية، مما أثار اهتماماً واسعاً في السوق. ومع ذلك، اكتشف خبراء الأمن وجود ثغرات كبيرة في عقود بيع هذه المقتنيات الرقمية. قد يتم استغلال هذه الثغرات من قبل الأفراد غير القانونيين لصك المقتنيات دون أي تكلفة وتحقيق أرباح من ذلك.
!
السبب الجذري لهذه الثغرة الأمنية هو وجود عيب في آلية التحقق من توقيع المستخدمين في القائمة البيضاء من قبل العقد. بشكل أكثر تحديدًا، فشل العقد في ضمان خصوصية توقيع القائمة البيضاء واستخدامه لمرة واحدة. وهذا يعني أن المهاجمين يمكنهم إعادة استخدام توقيع مستخدمين آخرين في القائمة البيضاء لصك المقتنيات.
من الناحية التقنية، يوجد عيب واضح في تصميم دالة verify في العقد. هذه الدالة عند إجراء التحقق من التوقيع، لم تشمل عنوان المرسل ضمن محتوى التوقيع، كما أنها تفتقر إلى آلية لمنع إعادة استخدام التوقيع. هذه الأمور يجب أن تكون جزءاً من أسس أمان البرمجيات، لكنها تم تجاهلها في مشروع معروف إلى هذا الحد، مما يثير الدهشة حقاً.
تسلط هذه الحادثة الضوء مرة أخرى على أهمية التدقيق الأمني في تطوير مشاريع البلوكشين. حتى المنظمات الكبيرة مثل NBA قد تواجه ثغرات خلال عملية التنفيذ التكنولوجي. يجب على جميع الأطراف المشاركة في سوق المقتنيات الرقمية، سواء كانت جهات إصدار أو مشترين، أن تكون أكثر يقظة وأن تركز على الأمان التقني للمشاريع.
في الوقت نفسه، يقرع هذا جرس إنذار لصناعة بأكملها. مع التطور السريع لسوق المقتنيات الرقمية، هناك حاجة ملحّة لإنشاء وتحسين المعايير الأمنية والممارسات المثلى ذات الصلة. يجب على فرق التطوير أن تعطي أهمية أكبر لتنفيذ التدابير الأمنية الأساسية، بما في ذلك على سبيل المثال لا الحصر، تنفيذ آليات التحقق من التوقيع، ومنع هجمات إعادة التشغيل.
!
بشكل عام، فإن حادثة ثغرة عقد NBA الرقمي لمقتنيات، لم تكشف فقط عن العيوب التقنية في المشروع المحدد، بل تعكس أيضًا نقص الوعي والممارسة في مجال الأمان في الصناعة بأكملها. نأمل أن يؤدي هذا الحادث إلى دفع الأطراف في الصناعة إلى إيلاء المزيد من الاهتمام لسلامة مشاريع blockchain، وبناء نظام بيئي لمقتنيات رقمية أكثر أمانًا وموثوقية.