Un grave défaut de contrat pour les objets de collection numériques de la NBA a été révélé
Récemment, la NBA a lancé une série de collectibles numériques, suscitant un large intérêt sur le marché. Cependant, un problème inquiétant a émergé - il existe des failles graves dans les contrats de vente de ces collectibles numériques. Des experts en sécurité ont découvert que des utilisateurs malveillants peuvent exploiter cette faille pour frapper des collectibles à volonté sans aucun coût, et obtenir des bénéfices indus en les vendant.
La source de cette vulnérabilité réside dans un défaut du mécanisme de vérification de la signature des utilisateurs figurant sur la liste blanche dans le contrat. Le contrat n'a pas réussi à garantir l'exclusivité et l'utilisation unique des signatures de la liste blanche, ce qui signifie qu'un attaquant peut réutiliser la signature d'autres utilisateurs de la liste blanche pour frapper des objets de collection.
D'un point de vue technique, la fonction verify dans le contrat présente des défauts évidents. Cette fonction n'inclut pas l'adresse de l'expéditeur dans le contenu de la signature lors du processus de validation et n'a pas mis en place de mécanisme pour empêcher la réutilisation de la signature. Ces éléments devraient relever des connaissances de base en matière de sécurité logicielle, mais ils ont été négligés dans un projet aussi connu, ce qui est véritablement choquant.
Les experts en sécurité signalent que l'apparition de ce type de vulnérabilité reflète la négligence des équipes de projet en matière de sécurité des contrats intelligents. Dans le domaine de la blockchain et des actifs numériques, la sécurité des contrats est directement liée à la sécurité des actifs des utilisateurs, et la moindre négligence peut entraîner de graves conséquences.
Cet événement nous rappelle une fois de plus que, quelle que soit la taille ou la notoriété d'un projet, il est impératif de réaliser un audit de sécurité complet et rigoureux lors de la publication d'un contrat intelligent. En même temps, il souligne le besoin urgent de professionnels qualifiés en sécurité dans l'industrie de la blockchain.
Avec le développement rapide du marché des collections numériques, des problèmes de sécurité similaires pourraient apparaître plus fréquemment. Par conséquent, les parties prenantes, les développeurs et les utilisateurs doivent accroître leur sensibilisation à la sécurité et travailler ensemble pour maintenir le développement sain de l'écosystème des actifs numériques.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
8 J'aime
Récompense
8
2
Reposter
Partager
Commentaire
0/400
StakeOrRegret
· 08-13 23:31
Qui a examiné le contrat, un stagiaire débutant ?
Voir l'originalRépondre0
ser_ngmi
· 08-13 23:21
Encore un smart contracts écrit par un élève de l'école primaire ?
Le contrat des objets de collection numériques de la NBA présente une vulnérabilité majeure pouvant permettre un minting illimité.
Un grave défaut de contrat pour les objets de collection numériques de la NBA a été révélé
Récemment, la NBA a lancé une série de collectibles numériques, suscitant un large intérêt sur le marché. Cependant, un problème inquiétant a émergé - il existe des failles graves dans les contrats de vente de ces collectibles numériques. Des experts en sécurité ont découvert que des utilisateurs malveillants peuvent exploiter cette faille pour frapper des collectibles à volonté sans aucun coût, et obtenir des bénéfices indus en les vendant.
La source de cette vulnérabilité réside dans un défaut du mécanisme de vérification de la signature des utilisateurs figurant sur la liste blanche dans le contrat. Le contrat n'a pas réussi à garantir l'exclusivité et l'utilisation unique des signatures de la liste blanche, ce qui signifie qu'un attaquant peut réutiliser la signature d'autres utilisateurs de la liste blanche pour frapper des objets de collection.
D'un point de vue technique, la fonction verify dans le contrat présente des défauts évidents. Cette fonction n'inclut pas l'adresse de l'expéditeur dans le contenu de la signature lors du processus de validation et n'a pas mis en place de mécanisme pour empêcher la réutilisation de la signature. Ces éléments devraient relever des connaissances de base en matière de sécurité logicielle, mais ils ont été négligés dans un projet aussi connu, ce qui est véritablement choquant.
Les experts en sécurité signalent que l'apparition de ce type de vulnérabilité reflète la négligence des équipes de projet en matière de sécurité des contrats intelligents. Dans le domaine de la blockchain et des actifs numériques, la sécurité des contrats est directement liée à la sécurité des actifs des utilisateurs, et la moindre négligence peut entraîner de graves conséquences.
Cet événement nous rappelle une fois de plus que, quelle que soit la taille ou la notoriété d'un projet, il est impératif de réaliser un audit de sécurité complet et rigoureux lors de la publication d'un contrat intelligent. En même temps, il souligne le besoin urgent de professionnels qualifiés en sécurité dans l'industrie de la blockchain.
Avec le développement rapide du marché des collections numériques, des problèmes de sécurité similaires pourraient apparaître plus fréquemment. Par conséquent, les parties prenantes, les développeurs et les utilisateurs doivent accroître leur sensibilisation à la sécurité et travailler ensemble pour maintenir le développement sain de l'écosystème des actifs numériques.