НБА нещодавно представила серію цифрових колекцій, але несподівано виявилося, що в смартконтрактах, що використовуються для продажу цих колекцій, є серйозні вразливості. Люди з високими технічними навичками можуть скористатися цією вразливістю, щоб мінтингувати колекції безкоштовно, а потім отримувати прибуток від їх продажу.
Ця вразливість викликана недоліками в проектуванні механізму перевірки підписів привілейованих користувачів. Зокрема, контракт не забезпечив одноразовість підпису привілейованого користувача і не зв'язав його з конкретним користувачем. Таким чином, зловмисники можуть повторно використовувати підписи інших привілейованих користувачів для мінтингу колекцій.
!
З коду контракту можна чітко побачити, що функція перевірки не включає адресу ініціатора угоди до змісту підпису. Крім того, контракт також не реалізує механізм запобігання повторному використанню підписів. Ці заходи безпеки мали б бути базовими знаннями в розробці програмного забезпечення. Вражає, що настільки очевидна вразливість з'явилася в проекті, який має таку високу популярність.
!
Ця подія ще раз нагадує нам, що навіть проекти, запущені великими інститутами, можуть мати серйозні проблеми безпеки. Для користувачів, які беруть участь у торгівлі цифровими активами, надзвичайно важливо залишатися пильними та ретельно оцінювати безпеку кожного проекту. Водночас це підкреслює термінову потребу в якісних перевірках безпеки в індустрії блокчейн, а також необхідність постійного навчання команди розробників та вдосконалення практик безпеки.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
13 лайків
Нагородити
13
10
Поділіться
Прокоментувати
0/400
AllInDaddy
· 1год тому
смартконтракти немає безпечних, так?
Переглянути оригіналвідповісти на0
LiquidationWatcher
· 07-24 02:46
не вперше на цьому шоу, так? вже був там, пережив це... жахи смарт-контрактів викликають у мене ПТСР, серйозно
Переглянути оригіналвідповісти на0
Drunkarboy10
· 07-23 13:12
Твердо HODL💎
Переглянути оригіналвідповісти на0
VenusLiquidity
· 07-23 13:10
Твердо HODL💎
Переглянути оригіналвідповісти на0
LowCapGemHunter
· 07-23 13:03
Знову вибух? Проекти Блокчейн занадто аматорські.
Переглянути оригіналвідповісти на0
RooftopReserver
· 07-23 13:02
Безпеку все ж потрібно перевіряти! Пішов, пішов!
Переглянути оригіналвідповісти на0
GamefiEscapeArtist
· 07-23 12:57
Знову бачимо крах контракту! Щороку говоримо про безпеку, щороку бачимо вразливості.
Переглянути оригіналвідповісти на0
APY追逐者
· 07-23 12:56
Знову бачимо вразливість у контракті, дійсно, одна хвиля не вщухла, як з'являється інша.
Переглянути оригіналвідповісти на0
governance_ghost
· 07-23 12:50
Безпека - це основа, добре?
Переглянути оригіналвідповісти на0
DataBartender
· 07-23 12:44
Знову бачимо, як смартконтракти зазнають краху, зітхаючи~
У смартконтрактах цифрових колекцій НБА виявлено суттєву вразливість, що відкриває ризики для безпеки проєкту через мінтинг.
НБА нещодавно представила серію цифрових колекцій, але несподівано виявилося, що в смартконтрактах, що використовуються для продажу цих колекцій, є серйозні вразливості. Люди з високими технічними навичками можуть скористатися цією вразливістю, щоб мінтингувати колекції безкоштовно, а потім отримувати прибуток від їх продажу.
Ця вразливість викликана недоліками в проектуванні механізму перевірки підписів привілейованих користувачів. Зокрема, контракт не забезпечив одноразовість підпису привілейованого користувача і не зв'язав його з конкретним користувачем. Таким чином, зловмисники можуть повторно використовувати підписи інших привілейованих користувачів для мінтингу колекцій.
!
З коду контракту можна чітко побачити, що функція перевірки не включає адресу ініціатора угоди до змісту підпису. Крім того, контракт також не реалізує механізм запобігання повторному використанню підписів. Ці заходи безпеки мали б бути базовими знаннями в розробці програмного забезпечення. Вражає, що настільки очевидна вразливість з'явилася в проекті, який має таку високу популярність.
!
Ця подія ще раз нагадує нам, що навіть проекти, запущені великими інститутами, можуть мати серйозні проблеми безпеки. Для користувачів, які беруть участь у торгівлі цифровими активами, надзвичайно важливо залишатися пильними та ретельно оцінювати безпеку кожного проекту. Водночас це підкреслює термінову потребу в якісних перевірках безпеки в індустрії блокчейн, а також необхідність постійного навчання команди розробників та вдосконалення практик безпеки.