В контрактах на цифровые коллекционные предметы NBA существуют серьезные проблемы с безопасностью
Недавно НБА запустила серию цифровых коллекционных предметов, что привлекло широкое внимание рынка. Однако некоторые эксперты по безопасности обнаружили серьезные уязвимости в контрактах на продажу этих цифровых коллекционных предметов. Эта уязвимость может быть использована злоумышленниками для безвозмездного создания коллекционных предметов и получения прибыли от этого.
!
Основная причина этой уязвимости безопасности заключается в наличии недостатков в механизме проверки подписей пользователей из белого списка в контракте. В частности, контракт не смог обеспечить эксклюзивность и одноразовое использование подписей белого списка. Это означает, что злоумышленники могут повторно использовать подписи других пользователей из белого списка для создания коллекционных предметов.
С технической точки зрения, в дизайне функции verify в контракте существуют явные недостатки. Эта функция при проверке подписи не включает адрес отправителя в содержание подписи и также лишена механизма предотвращения повторного использования подписи. Эти вещи должны быть основными знаниями в области безопасности программного обеспечения, однако в таком известном проекте они были проигнорированы, что действительно удивительно.
Это событие еще раз подчеркивает важность проведения аудита безопасности в разработке блокчейн-проектов. Даже такие крупные организации, как НБА, могут допустить упущения в процессе технической реализации. Для всех участников рынка цифровых коллекционных предметов, будь то эмитенты или покупатели, необходимо повышать бдительность и обращать внимание на техническую безопасность проектов.
Одновременно это также стало тревожным сигналом для всей отрасли. С быстрым развитием рынка цифровых коллекционных предметов существуют настоятельные потребности в установлении и совершенствовании соответствующих стандартов безопасности и лучших практик. Команды разработчиков должны уделять больше внимания реализации основных мер безопасности, включая, но не ограничиваясь, правильной реализацией механизмов проверки подписи и защиты от атак повторного воспроизведения.
!
В общем, инцидент с уязвимостью контракта цифровых коллекционных предметов NBA не только выявил технические недостатки конкретного проекта, но и отразил недостаток безопасности и практики в всей отрасли. Надеюсь, что этот инцидент сможет побудить всех участников отрасли уделять больше внимания безопасности блокчейн-проектов и совместно создать более безопасную и надежную экосистему цифровых коллекционных предметов.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
17 Лайков
Награда
17
4
Репост
Поделиться
комментарий
0/400
HorizonHunter
· 11ч назад
Разве это можно назвать аудитом контрактов?
Посмотреть ОригиналОтветить0
ThesisInvestor
· 08-06 07:35
Это немного абсурдно, что в контракте есть такая базовая уязвимость??
Посмотреть ОригиналОтветить0
LayerZeroHero
· 08-06 07:16
Еще одна ошибка в функции verify. Какой-то баг и с ним решились выходить на Основная сеть.
Посмотреть ОригиналОтветить0
StakeTillRetire
· 08-06 07:11
Это уже запущено? Неужели контракт написал стажёр?
В контракте на цифровые коллекционные предметы NBA обнаружена серьезная уязвимость, существует угроза безопасности в механизме минтинга.
В контрактах на цифровые коллекционные предметы NBA существуют серьезные проблемы с безопасностью
Недавно НБА запустила серию цифровых коллекционных предметов, что привлекло широкое внимание рынка. Однако некоторые эксперты по безопасности обнаружили серьезные уязвимости в контрактах на продажу этих цифровых коллекционных предметов. Эта уязвимость может быть использована злоумышленниками для безвозмездного создания коллекционных предметов и получения прибыли от этого.
!
Основная причина этой уязвимости безопасности заключается в наличии недостатков в механизме проверки подписей пользователей из белого списка в контракте. В частности, контракт не смог обеспечить эксклюзивность и одноразовое использование подписей белого списка. Это означает, что злоумышленники могут повторно использовать подписи других пользователей из белого списка для создания коллекционных предметов.
С технической точки зрения, в дизайне функции verify в контракте существуют явные недостатки. Эта функция при проверке подписи не включает адрес отправителя в содержание подписи и также лишена механизма предотвращения повторного использования подписи. Эти вещи должны быть основными знаниями в области безопасности программного обеспечения, однако в таком известном проекте они были проигнорированы, что действительно удивительно.
Это событие еще раз подчеркивает важность проведения аудита безопасности в разработке блокчейн-проектов. Даже такие крупные организации, как НБА, могут допустить упущения в процессе технической реализации. Для всех участников рынка цифровых коллекционных предметов, будь то эмитенты или покупатели, необходимо повышать бдительность и обращать внимание на техническую безопасность проектов.
Одновременно это также стало тревожным сигналом для всей отрасли. С быстрым развитием рынка цифровых коллекционных предметов существуют настоятельные потребности в установлении и совершенствовании соответствующих стандартов безопасности и лучших практик. Команды разработчиков должны уделять больше внимания реализации основных мер безопасности, включая, но не ограничиваясь, правильной реализацией механизмов проверки подписи и защиты от атак повторного воспроизведения.
!
В общем, инцидент с уязвимостью контракта цифровых коллекционных предметов NBA не только выявил технические недостатки конкретного проекта, но и отразил недостаток безопасности и практики в всей отрасли. Надеюсь, что этот инцидент сможет побудить всех участников отрасли уделять больше внимания безопасности блокчейн-проектов и совместно создать более безопасную и надежную экосистему цифровых коллекционных предметов.