NBA baru-baru ini meluncurkan serangkaian koleksi digital, tetapi setelah analisis mendalam, kami menemukan bahwa kontrak penjualannya memiliki risiko keamanan yang signifikan. Kerentanan ini memungkinkan pengguna jahat untuk mencetak koleksi tanpa biaya, dan mendapatkan keuntungan yang tidak semestinya melalui penjualan.
Akar masalah terletak pada cacat mekanisme verifikasi tanda tangan pengguna daftar putih. Kontrak tidak dapat memastikan sifat eksklusif dan penggunaan sekali dari tanda tangan daftar putih, yang menyebabkan penyerang dapat menggunakan kembali tanda tangan pengguna daftar putih lainnya untuk pencetakan koleksi.
Dari kode kontrak, dapat dilihat dengan jelas bahwa fungsi verifikasi tidak memasukkan alamat pengirim transaksi ke dalam konten tanda tangan. Selain itu, juga tidak ada mekanisme untuk mencegah penggunaan ulang tanda tangan. Langkah-langkah keamanan dasar ini seharusnya menjadi pengetahuan umum dalam pengembangan perangkat lunak.
Sangat mengejutkan bahwa celah yang begitu jelas muncul dalam sebuah proyek yang sangat diperhatikan. Ini tidak hanya mengungkapkan kelalaian tim proyek dalam audit keamanan, tetapi juga menyoroti tantangan yang dihadapi proyek blockchain dalam hal keamanan kode.
Peristiwa ini sekali lagi mengingatkan kita bahwa bahkan proyek besar dan terkenal sekalipun mungkin memiliki kerentanan keamanan yang mendasar. Untuk proyek blockchain, audit keamanan kode dan deteksi kerentanan yang berkelanjutan sangatlah penting. Pada saat yang sama, ini juga membunyikan alarm bagi seluruh industri, menyerukan semua pihak untuk lebih memperhatikan keamanan kontrak pintar.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
10 Suka
Hadiah
10
6
Posting ulang
Bagikan
Komentar
0/400
GasFeeThunder
· 12jam yang lalu
Satu lagi versi rekaman yang terjebak pada 12 April, data di tangan tetapi tetap acuh tak acuh.
Lihat AsliBalas0
ChainDetective
· 18jam yang lalu
Zeh, bug level pemula seperti ini saja bisa diluncurkan.
Lihat AsliBalas0
WhaleSurfer
· 18jam yang lalu
Tidak bisa mengembangkan masih berani mengambil pesanan NBA ini
Lihat AsliBalas0
RugPullAlarm
· 18jam yang lalu
Jadi benar-benar menggunakan suckers untuk berlatih, bahkan audit tingkat dasar pun tidak dilakukan.
Lihat AsliBalas0
BlockchainGriller
· 18jam yang lalu
Melihat dengan tajam, orang lain dianggap bodoh oleh suckers.
Lihat AsliBalas0
OnchainHolmes
· 18jam yang lalu
Ternyata Allowlist bisa disalin dan ditempel, siapa pun bisa play people for suckers.
Kontrak koleksi digital NBA ditemukan memiliki celah keamanan serius, mekanisme verifikasi Allowlist memiliki kekurangan.
NBA baru-baru ini meluncurkan serangkaian koleksi digital, tetapi setelah analisis mendalam, kami menemukan bahwa kontrak penjualannya memiliki risiko keamanan yang signifikan. Kerentanan ini memungkinkan pengguna jahat untuk mencetak koleksi tanpa biaya, dan mendapatkan keuntungan yang tidak semestinya melalui penjualan.
Akar masalah terletak pada cacat mekanisme verifikasi tanda tangan pengguna daftar putih. Kontrak tidak dapat memastikan sifat eksklusif dan penggunaan sekali dari tanda tangan daftar putih, yang menyebabkan penyerang dapat menggunakan kembali tanda tangan pengguna daftar putih lainnya untuk pencetakan koleksi.
Dari kode kontrak, dapat dilihat dengan jelas bahwa fungsi verifikasi tidak memasukkan alamat pengirim transaksi ke dalam konten tanda tangan. Selain itu, juga tidak ada mekanisme untuk mencegah penggunaan ulang tanda tangan. Langkah-langkah keamanan dasar ini seharusnya menjadi pengetahuan umum dalam pengembangan perangkat lunak.
Sangat mengejutkan bahwa celah yang begitu jelas muncul dalam sebuah proyek yang sangat diperhatikan. Ini tidak hanya mengungkapkan kelalaian tim proyek dalam audit keamanan, tetapi juga menyoroti tantangan yang dihadapi proyek blockchain dalam hal keamanan kode.
Peristiwa ini sekali lagi mengingatkan kita bahwa bahkan proyek besar dan terkenal sekalipun mungkin memiliki kerentanan keamanan yang mendasar. Untuk proyek blockchain, audit keamanan kode dan deteksi kerentanan yang berkelanjutan sangatlah penting. Pada saat yang sama, ini juga membunyikan alarm bagi seluruh industri, menyerukan semua pihak untuk lebih memperhatikan keamanan kontrak pintar.