У контрактів на цифрові колекційні предмети NBA існують серйозні проблеми з безпекою
Нещодавно НБА запустила серію цифрових колекцій, що викликало широке зацікавлення на ринку. Проте, експерти з безпеки виявили істотну вразливість у контрактах продажу цих цифрових колекцій. Цю вразливість можуть використати зловмисники для безкоштовного створення колекцій і отримання прибутку.
!
Основна причина цієї безпекової вразливості полягає в дефекті механізму перевірки підписів користувачів білого списку в контракті. Конкретно, контракт не зміг забезпечити ексклюзивність та одноразове використання підписів білого списку. Це означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для створення колекцій.
З технічної точки зору, у дизайні функції verify в контракті є очевидні недоліки. Ця функція при перевірці підпису не враховує адресу відправника в зміст підпису, а також їй бракує механізму запобігання повторному використанню підписів. Ці речі мали б належати до базових знань про безпеку програмного забезпечення, але в такому відомому проекті вони були проігноровані, що дійсно дивує.
Ця подія ще раз підкреслює важливість безпекового аудиту в розробці проектів на блокчейні. Навіть такі великі організації, як НБА, можуть допустити помилки під час технічної реалізації. Для всіх учасників ринку цифрових колекцій, будь то емітенти чи покупці, слід підвищити пильність та звертати увагу на технічну безпеку проектів.
Водночас це також стало сигналом тривоги для всієї галузі. У міру швидкого розвитку ринку цифрових колекцій терміново потрібно встановити та вдосконалити відповідні стандарти безпеки та найкращі практики. Команда розробників повинна більш пильно ставитися до реалізації основних заходів безпеки, включаючи, але не обмежуючись, правильним впровадженням механізмів верифікації підписів, захисту від повторних атак тощо.
!
В цілому, цей інцидент з вразливістю контракту цифрових колекцій NBA не лише виявив конкретні технічні недоліки проекту, але й відобразив загальну недостатність усвідомлення безпеки та практики в індустрії. Сподіваємось, що через цей інцидент вдасться спонукати всіх учасників галузі більше зосередитися на безпеці блокчейн-проектів та спільно створити більш безпечну та надійну екосистему цифрових колекцій.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
17 лайків
Нагородити
17
4
Репост
Поділіться
Прокоментувати
0/400
HorizonHunter
· 10год тому
Це ж можна назвати аудитом контракту?
Переглянути оригіналвідповісти на0
ThesisInvestor
· 08-06 07:35
Трохи абсурдно, що такі базові вразливості в контракті все ж існують??
Переглянути оригіналвідповісти на0
LayerZeroHero
· 08-06 07:16
Ще одна функція verify викликала проблеми. Такі баги сміють виходити на Основну мережу для тестування.
Переглянути оригіналвідповісти на0
StakeTillRetire
· 08-06 07:11
Це ще запущено? Написання контракту, напевно, не стажер.
У NBA цифрових колекційних предметів контракт виявив суттєву уразливість, мінтинг механізму має проблеми з безпекою.
У контрактів на цифрові колекційні предмети NBA існують серйозні проблеми з безпекою
Нещодавно НБА запустила серію цифрових колекцій, що викликало широке зацікавлення на ринку. Проте, експерти з безпеки виявили істотну вразливість у контрактах продажу цих цифрових колекцій. Цю вразливість можуть використати зловмисники для безкоштовного створення колекцій і отримання прибутку.
!
Основна причина цієї безпекової вразливості полягає в дефекті механізму перевірки підписів користувачів білого списку в контракті. Конкретно, контракт не зміг забезпечити ексклюзивність та одноразове використання підписів білого списку. Це означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для створення колекцій.
З технічної точки зору, у дизайні функції verify в контракті є очевидні недоліки. Ця функція при перевірці підпису не враховує адресу відправника в зміст підпису, а також їй бракує механізму запобігання повторному використанню підписів. Ці речі мали б належати до базових знань про безпеку програмного забезпечення, але в такому відомому проекті вони були проігноровані, що дійсно дивує.
Ця подія ще раз підкреслює важливість безпекового аудиту в розробці проектів на блокчейні. Навіть такі великі організації, як НБА, можуть допустити помилки під час технічної реалізації. Для всіх учасників ринку цифрових колекцій, будь то емітенти чи покупці, слід підвищити пильність та звертати увагу на технічну безпеку проектів.
Водночас це також стало сигналом тривоги для всієї галузі. У міру швидкого розвитку ринку цифрових колекцій терміново потрібно встановити та вдосконалити відповідні стандарти безпеки та найкращі практики. Команда розробників повинна більш пильно ставитися до реалізації основних заходів безпеки, включаючи, але не обмежуючись, правильним впровадженням механізмів верифікації підписів, захисту від повторних атак тощо.
!
В цілому, цей інцидент з вразливістю контракту цифрових колекцій NBA не лише виявив конкретні технічні недоліки проекту, але й відобразив загальну недостатність усвідомлення безпеки та практики в індустрії. Сподіваємось, що через цей інцидент вдасться спонукати всіх учасників галузі більше зосередитися на безпеці блокчейн-проектів та спільно створити більш безпечну та надійну екосистему цифрових колекцій.