В контракте на цифровые коллекционные предметы NBA обнаружена серьезная уязвимость безопасности, механизм проверки Разрешенный список имеет недостатки.
Недавно НБА представила серию цифровых коллекционных предметов, но после глубокого анализа мы обнаружили, что их контракт на продажу имеет серьезные проблемы с безопасностью. Эта уязвимость позволяет злонамеренным пользователям без затрат минтить коллекционные предметы и получать незаконную прибыль от их продажи.
Корень проблемы заключается в недостатках механизма проверки подписей пользователей из белого списка. Контракт не смог обеспечить уникальность и однократное использование подписей из белого списка, что позволило злоумышленникам повторно использовать подписи других пользователей из белого списка для минтинга коллекционных предметов.
Из кода контракта видно, что функция верификации не включает адрес инициатора транзакции в содержимое подписи. В то же время отсутствует механизм предотвращения повторного использования подписи. Эти основные меры безопасности должны быть общеизвестными знаниями в разработке программного обеспечения.
!
Удивительно, что такая очевидная уязвимость появилась в столь заметном проекте. Это не только выявило недостатки команды проекта в области безопасности, но и подчеркнуло вызовы, с которыми сталкиваются блокчейн-проекты в отношении безопасности кода.
Это событие вновь напоминает нам, что даже у крупных и известных проектов могут быть фундаментальные уязвимости в безопасности. Для блокчейн-проектов особенно важны аудит безопасности кода и постоянное обнаружение уязвимостей. В то же время это также звучит тревожный сигнал для всей отрасли, призывая всех участников уделять больше внимания строительству безопасности смарт-контрактов.
!
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
6
Репост
Поделиться
комментарий
0/400
GasFeeThunder
· 9ч назад
Еще одна реплика 12 апреля, несмотря на данные в руках, все равно все плохо.
Посмотреть ОригиналОтветить0
ChainDetective
· 15ч назад
Цзэ, такой новичок уровень багов тоже может быть запущен
Посмотреть ОригиналОтветить0
WhaleSurfer
· 15ч назад
Не умея разрабатывать, все еще берется за этот заказ в НБА.
Посмотреть ОригиналОтветить0
RugPullAlarm
· 15ч назад
Ну вот, просто тренируемся на неудачниках, даже начальный аудит не провели.
Посмотреть ОригиналОтветить0
BlockchainGriller
· 16ч назад
Смотрите внимательно, как неудачники будут играть для лохов.
Посмотреть ОригиналОтветить0
OnchainHolmes
· 16ч назад
Оказывается, Разрешенный список можно копировать и вставлять. С руками можно разыгрывать людей как лохов.
В контракте на цифровые коллекционные предметы NBA обнаружена серьезная уязвимость безопасности, механизм проверки Разрешенный список имеет недостатки.
Недавно НБА представила серию цифровых коллекционных предметов, но после глубокого анализа мы обнаружили, что их контракт на продажу имеет серьезные проблемы с безопасностью. Эта уязвимость позволяет злонамеренным пользователям без затрат минтить коллекционные предметы и получать незаконную прибыль от их продажи.
Корень проблемы заключается в недостатках механизма проверки подписей пользователей из белого списка. Контракт не смог обеспечить уникальность и однократное использование подписей из белого списка, что позволило злоумышленникам повторно использовать подписи других пользователей из белого списка для минтинга коллекционных предметов.
Из кода контракта видно, что функция верификации не включает адрес инициатора транзакции в содержимое подписи. В то же время отсутствует механизм предотвращения повторного использования подписи. Эти основные меры безопасности должны быть общеизвестными знаниями в разработке программного обеспечения.
!
Удивительно, что такая очевидная уязвимость появилась в столь заметном проекте. Это не только выявило недостатки команды проекта в области безопасности, но и подчеркнуло вызовы, с которыми сталкиваются блокчейн-проекты в отношении безопасности кода.
Это событие вновь напоминает нам, что даже у крупных и известных проектов могут быть фундаментальные уязвимости в безопасности. Для блокчейн-проектов особенно важны аудит безопасности кода и постоянное обнаружение уязвимостей. В то же время это также звучит тревожный сигнал для всей отрасли, призывая всех участников уделять больше внимания строительству безопасности смарт-контрактов.
!