La NBA a récemment lancé une série de collectibles numériques, mais ce qui est préoccupant, c'est qu'il existe de graves failles dans ses contrats de vente. Des chercheurs en sécurité ont découvert que des criminels pouvaient exploiter cette faille pour minting des collectibles sans aucun coût et en tirer des bénéfices indus en les vendant.
La source de cette vulnérabilité réside dans les failles de la vérification de la signature des utilisateurs sur liste blanche. Le contrat n’a pas réussi à garantir l’unicité et l’exclusivité des signatures sur liste blanche, permettant ainsi aux attaquants de réutiliser les signatures d'autres utilisateurs sur liste blanche pour le minting des objets de collection.
D'un point de vue technique, la fonction verify présente des défauts de conception évidents. Elle n'inclut pas l'adresse de l'expéditeur dans le processus de vérification de la signature et manque de mécanismes pour empêcher la réutilisation des signatures. Ces mesures de sécurité devraient être des connaissances de base dans le développement logiciel, mais elles ont été négligées dans ce projet très médiatisé, ce qui est vraiment choquant.
L'apparition de ce type de vulnérabilités de sécurité nuit non seulement aux intérêts des projets, mais a également un impact négatif sur l'ensemble du marché des biens numériques. Cela met en évidence qu'au cours du développement de projets blockchain, même des institutions renommées peuvent faire preuve de négligence en matière de pratiques de sécurité fondamentales. Cet événement devrait servir d'avertissement à l'industrie, rappelant aux développeurs qu'ils doivent être particulièrement prudents lors de la conception de contrats intelligents, en particulier lorsqu'ils traitent des fonctionnalités essentielles liées aux actifs et aux droits.
Pour éviter que des problèmes similaires ne se reproduisent, l'équipe de développement devrait renforcer le processus d'audit de code et introduire des mécanismes de test de sécurité plus stricts. Il est également conseillé aux porteurs de projet d'envisager de faire appel à des experts en sécurité tiers pour un audit indépendant, afin de garantir la sécurité et la fiabilité des contrats. Ce n'est qu'ainsi que l'on pourra véritablement protéger les intérêts des utilisateurs et maintenir le développement sain du marché des collections numériques.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
9
Reposter
Partager
Commentaire
0/400
ForumMiningMaster
· 08-13 19:58
Couper les coupons de nouveau, frères.
Voir l'originalRépondre0
HypotheticalLiquidator
· 08-13 18:55
Les contrats de base ne sont pas bien rédigés, cette vague de buidl va provoquer une réaction en chaîne de panique sur le marché.
Voir l'originalRépondre0
ChainSherlockGirl
· 08-12 13:09
Le petit expert en suivi des vulnérabilités des contrats est là~ D'après mon analyse des données off-chain, l'Allowlist a été bien exploitée.
Voir l'originalRépondre0
FallingLeaf
· 08-10 20:30
Le contrat est si bas que l'allowlist n'est même pas supprimée.
Voir l'originalRépondre0
IronHeadMiner
· 08-10 20:30
C'est trop absurde, le contrat de minting n'a même pas bien géré l'Allowlist.
Voir l'originalRépondre0
LiquidationWizard
· 08-10 20:28
Encore des pigeons sont entrés sur le marché.
Voir l'originalRépondre0
BridgeJumper
· 08-10 20:26
Allowlist validation à ce niveau, vraiment nul.
Voir l'originalRépondre0
TrustlessMaximalist
· 08-10 20:25
À ce niveau, ils osent encore sortir des collections ???
Voir l'originalRépondre0
OldLeekNewSickle
· 08-10 20:19
Les pigeons ne peuvent jamais deviner d'où viendra le prochain coup.
Vulnérabilité du contrat des collections numériques NBA pouvant être mintées gratuitement pour réaliser un profit.
La NBA a récemment lancé une série de collectibles numériques, mais ce qui est préoccupant, c'est qu'il existe de graves failles dans ses contrats de vente. Des chercheurs en sécurité ont découvert que des criminels pouvaient exploiter cette faille pour minting des collectibles sans aucun coût et en tirer des bénéfices indus en les vendant.
La source de cette vulnérabilité réside dans les failles de la vérification de la signature des utilisateurs sur liste blanche. Le contrat n’a pas réussi à garantir l’unicité et l’exclusivité des signatures sur liste blanche, permettant ainsi aux attaquants de réutiliser les signatures d'autres utilisateurs sur liste blanche pour le minting des objets de collection.
D'un point de vue technique, la fonction verify présente des défauts de conception évidents. Elle n'inclut pas l'adresse de l'expéditeur dans le processus de vérification de la signature et manque de mécanismes pour empêcher la réutilisation des signatures. Ces mesures de sécurité devraient être des connaissances de base dans le développement logiciel, mais elles ont été négligées dans ce projet très médiatisé, ce qui est vraiment choquant.
L'apparition de ce type de vulnérabilités de sécurité nuit non seulement aux intérêts des projets, mais a également un impact négatif sur l'ensemble du marché des biens numériques. Cela met en évidence qu'au cours du développement de projets blockchain, même des institutions renommées peuvent faire preuve de négligence en matière de pratiques de sécurité fondamentales. Cet événement devrait servir d'avertissement à l'industrie, rappelant aux développeurs qu'ils doivent être particulièrement prudents lors de la conception de contrats intelligents, en particulier lorsqu'ils traitent des fonctionnalités essentielles liées aux actifs et aux droits.
Pour éviter que des problèmes similaires ne se reproduisent, l'équipe de développement devrait renforcer le processus d'audit de code et introduire des mécanismes de test de sécurité plus stricts. Il est également conseillé aux porteurs de projet d'envisager de faire appel à des experts en sécurité tiers pour un audit indépendant, afin de garantir la sécurité et la fiabilité des contrats. Ce n'est qu'ainsi que l'on pourra véritablement protéger les intérêts des utilisateurs et maintenir le développement sain du marché des collections numériques.