Gần đây, NBA đã cho ra mắt một loạt các bộ sưu tập kỹ thuật số, thu hút sự chú ý rộng rãi từ thị trường. Tuy nhiên, một số chuyên gia an ninh đã phát hiện ra rằng trong hợp đồng bán những bộ sưu tập kỹ thuật số này có những lỗ hổng nghiêm trọng. Lỗ hổng này có thể bị kẻ xấu lợi dụng để đúc bộ sưu tập mà không tốn chi phí và kiếm lợi từ đó.
Nguyên nhân cơ bản gây ra lỗ hổng bảo mật này là do cơ chế xác minh chữ ký của những người dùng trong danh sách trắng của hợp đồng có khuyết điểm. Cụ thể, hợp đồng không đảm bảo tính đặc thù và tính chỉ sử dụng một lần của chữ ký trong danh sách trắng. Điều này có nghĩa là kẻ tấn công có thể lặp lại việc sử dụng chữ ký của những người dùng khác trong danh sách trắng để đúc các bộ sưu tập.
Từ góc độ kỹ thuật, thiết kế hàm verify trong hợp đồng có những khuyết điểm rõ ràng. Hàm này khi thực hiện xác minh chữ ký không đưa địa chỉ của người gửi vào nội dung chữ ký, đồng thời cũng thiếu cơ chế ngăn chặn việc sử dụng lại chữ ký. Những điều này lẽ ra thuộc về kiến thức an ninh phần mềm cơ bản, nhưng lại bị bỏ qua trong một dự án nổi tiếng như vậy, thật sự làm người ta bất ngờ.
Sự kiện này một lần nữa làm nổi bật tầm quan trọng của việc kiểm toán an ninh trong việc phát triển các dự án blockchain. Ngay cả những tổ chức lớn như NBA cũng có thể gặp phải những thiếu sót trong quá trình triển khai công nghệ. Đối với các bên tham gia thị trường sản phẩm kỹ thuật số, cho dù là bên phát hành hay người mua, đều nên nâng cao cảnh giác và chú ý đến tính an toàn kỹ thuật của dự án.
Đồng thời, điều này cũng đã gióng lên hồi chuông cảnh báo cho toàn ngành. Với sự phát triển nhanh chóng của thị trường tài sản số, các tiêu chuẩn an ninh và thực tiễn tốt nhất liên quan cần được thiết lập và hoàn thiện ngay lập tức. Nhóm phát triển nên chú trọng hơn đến việc thực hiện các biện pháp an ninh cơ bản, bao gồm nhưng không giới hạn ở việc xác thực chữ ký, ngăn chặn tấn công phát lại và các cơ chế thực hiện đúng khác.
Nhìn chung, sự cố lỗ hổng hợp đồng số trong NBA không chỉ phơi bày những thiếu sót kỹ thuật của dự án cụ thể mà còn phản ánh sự thiếu hụt về nhận thức và thực hành an toàn trong toàn ngành. Hy vọng rằng thông qua sự kiện này, các bên trong ngành sẽ chú trọng hơn đến tính an toàn của các dự án blockchain, cùng nhau xây dựng một hệ sinh thái số an toàn và đáng tin cậy hơn.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
17 thích
Phần thưởng
17
4
Đăng lại
Chia sẻ
Bình luận
0/400
HorizonHunter
· 13giờ trước
Chỉ có vậy mà cũng gọi là kiểm toán hợp đồng?
Xem bản gốcTrả lời0
ThesisInvestor
· 08-06 07:35
Có hơi lố bịch không, lỗ hổng cơ bản như hợp đồng này cũng xuất hiện sao??
Xem bản gốcTrả lời0
LayerZeroHero
· 08-06 07:16
Một hàm verify khác đã gặp sự cố. Loại lỗi này cũng dám lên Mạng chính thử nghiệm.
Xem bản gốcTrả lời0
StakeTillRetire
· 08-06 07:11
Cái này còn lên sóng? Người viết hợp đồng chắc không phải thực tập sinh.
Hợp đồng sưu tầm số NBA hiện có lỗ hổng nghiêm trọng, cơ chế đang đúc có nguy cơ an toàn.
Hợp đồng NFT NBA có lỗ hổng bảo mật nghiêm trọng
Gần đây, NBA đã cho ra mắt một loạt các bộ sưu tập kỹ thuật số, thu hút sự chú ý rộng rãi từ thị trường. Tuy nhiên, một số chuyên gia an ninh đã phát hiện ra rằng trong hợp đồng bán những bộ sưu tập kỹ thuật số này có những lỗ hổng nghiêm trọng. Lỗ hổng này có thể bị kẻ xấu lợi dụng để đúc bộ sưu tập mà không tốn chi phí và kiếm lợi từ đó.
Nguyên nhân cơ bản gây ra lỗ hổng bảo mật này là do cơ chế xác minh chữ ký của những người dùng trong danh sách trắng của hợp đồng có khuyết điểm. Cụ thể, hợp đồng không đảm bảo tính đặc thù và tính chỉ sử dụng một lần của chữ ký trong danh sách trắng. Điều này có nghĩa là kẻ tấn công có thể lặp lại việc sử dụng chữ ký của những người dùng khác trong danh sách trắng để đúc các bộ sưu tập.
Từ góc độ kỹ thuật, thiết kế hàm verify trong hợp đồng có những khuyết điểm rõ ràng. Hàm này khi thực hiện xác minh chữ ký không đưa địa chỉ của người gửi vào nội dung chữ ký, đồng thời cũng thiếu cơ chế ngăn chặn việc sử dụng lại chữ ký. Những điều này lẽ ra thuộc về kiến thức an ninh phần mềm cơ bản, nhưng lại bị bỏ qua trong một dự án nổi tiếng như vậy, thật sự làm người ta bất ngờ.
Sự kiện này một lần nữa làm nổi bật tầm quan trọng của việc kiểm toán an ninh trong việc phát triển các dự án blockchain. Ngay cả những tổ chức lớn như NBA cũng có thể gặp phải những thiếu sót trong quá trình triển khai công nghệ. Đối với các bên tham gia thị trường sản phẩm kỹ thuật số, cho dù là bên phát hành hay người mua, đều nên nâng cao cảnh giác và chú ý đến tính an toàn kỹ thuật của dự án.
Đồng thời, điều này cũng đã gióng lên hồi chuông cảnh báo cho toàn ngành. Với sự phát triển nhanh chóng của thị trường tài sản số, các tiêu chuẩn an ninh và thực tiễn tốt nhất liên quan cần được thiết lập và hoàn thiện ngay lập tức. Nhóm phát triển nên chú trọng hơn đến việc thực hiện các biện pháp an ninh cơ bản, bao gồm nhưng không giới hạn ở việc xác thực chữ ký, ngăn chặn tấn công phát lại và các cơ chế thực hiện đúng khác.
Nhìn chung, sự cố lỗ hổng hợp đồng số trong NBA không chỉ phơi bày những thiếu sót kỹ thuật của dự án cụ thể mà còn phản ánh sự thiếu hụt về nhận thức và thực hành an toàn trong toàn ngành. Hy vọng rằng thông qua sự kiện này, các bên trong ngành sẽ chú trọng hơn đến tính an toàn của các dự án blockchain, cùng nhau xây dựng một hệ sinh thái số an toàn và đáng tin cậy hơn.