Un grave défaut a été découvert dans le smart contract des objets de collection numériques de la NBA, exposant une vulnérabilité de minting et des risques de sécurité pour le projet.
La NBA a récemment lancé une série de collectibles numériques, mais il est surprenant de constater qu'il existe de graves vulnérabilités dans le smart contracts qui vendent ces collectibles. Des personnes hautement qualifiées sur le plan technique peuvent exploiter cette vulnérabilité pour minting des collectibles sans dépenser un centime, puis réaliser un profit en les vendant.
La source de cette vulnérabilité réside dans un défaut de conception du mécanisme de vérification des signatures des utilisateurs privilégiés. Plus précisément, le contrat n'a pas veillé à ce que la signature des utilisateurs privilégiés soit unique, ni ne l'a liée à un utilisateur spécifique. Par conséquent, des personnes malveillantes peuvent réutiliser les signatures d'autres utilisateurs privilégiés pour le minting de collections.
On peut clairement voir dans le code du contrat que la fonction de vérification n'inclut pas l'adresse de l'initiateur de la transaction dans le contenu de la signature. De plus, le contrat n'a pas mis en place de mécanisme pour empêcher la réutilisation des signatures. Ces mesures de sécurité auraient dû être des connaissances de base en développement logiciel. Il est surprenant qu'une faille aussi évidente apparaisse dans un projet d'une telle renommée.
Cet événement nous rappelle une fois de plus que même les projets lancés par de grandes institutions peuvent comporter de graves risques de sécurité. Pour les utilisateurs participant au trading d'actifs numériques, il est essentiel de rester vigilants et d'évaluer soigneusement la sécurité de chaque projet. En même temps, cela souligne le besoin urgent d'audits de sécurité de haute qualité dans l'industrie de la blockchain, ainsi que la nécessité pour les équipes de développement d'apprendre et d'améliorer en continu leurs pratiques de sécurité.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
11
Partager
Commentaire
0/400
GigaBrainAnon
· Il y a 23h
Les audits de smart contracts ne sont pas fiables.
Voir l'originalRépondre0
AllInDaddy
· 07-25 02:13
Les smart contracts ne sont pas sécurisés, n'est-ce pas ?
Voir l'originalRépondre0
LiquidationWatcher
· 07-24 02:46
ce n'est pas ta première expérience eh nba? déjà vécu, déjà détruit... les cauchemars de contrats intelligents me donnent un stress post-traumatique fr fr
Voir l'originalRépondre0
Drunkarboy10
· 07-23 13:12
ferme HODL💎
Voir l'originalRépondre0
VenusLiquidity
· 07-23 13:10
ferme HODL💎
Voir l'originalRépondre0
LowCapGemHunter
· 07-23 13:03
Encore explosé ? Les projets Blockchain sont vraiment trop amateurs.
Voir l'originalRépondre0
RooftopReserver
· 07-23 13:02
La sécurité doit être vérifiée ! Je m'en vais, je m'en vais.
Voir l'originalRépondre0
GamefiEscapeArtist
· 07-23 12:57
Encore un échec de contrat ! On parle de sécurité chaque année, et chaque année on voit des failles.
Voir l'originalRépondre0
APY追逐者
· 07-23 12:56
Encore des failles dans les contrats, une vague n'est pas calmée qu'une autre se lève.
Un grave défaut a été découvert dans le smart contract des objets de collection numériques de la NBA, exposant une vulnérabilité de minting et des risques de sécurité pour le projet.
La NBA a récemment lancé une série de collectibles numériques, mais il est surprenant de constater qu'il existe de graves vulnérabilités dans le smart contracts qui vendent ces collectibles. Des personnes hautement qualifiées sur le plan technique peuvent exploiter cette vulnérabilité pour minting des collectibles sans dépenser un centime, puis réaliser un profit en les vendant.
La source de cette vulnérabilité réside dans un défaut de conception du mécanisme de vérification des signatures des utilisateurs privilégiés. Plus précisément, le contrat n'a pas veillé à ce que la signature des utilisateurs privilégiés soit unique, ni ne l'a liée à un utilisateur spécifique. Par conséquent, des personnes malveillantes peuvent réutiliser les signatures d'autres utilisateurs privilégiés pour le minting de collections.
On peut clairement voir dans le code du contrat que la fonction de vérification n'inclut pas l'adresse de l'initiateur de la transaction dans le contenu de la signature. De plus, le contrat n'a pas mis en place de mécanisme pour empêcher la réutilisation des signatures. Ces mesures de sécurité auraient dû être des connaissances de base en développement logiciel. Il est surprenant qu'une faille aussi évidente apparaisse dans un projet d'une telle renommée.
Cet événement nous rappelle une fois de plus que même les projets lancés par de grandes institutions peuvent comporter de graves risques de sécurité. Pour les utilisateurs participant au trading d'actifs numériques, il est essentiel de rester vigilants et d'évaluer soigneusement la sécurité de chaque projet. En même temps, cela souligne le besoin urgent d'audits de sécurité de haute qualité dans l'industrie de la blockchain, ainsi que la nécessité pour les équipes de développement d'apprendre et d'améliorer en continu leurs pratiques de sécurité.