NBA gần đây đã ra mắt một loạt các bộ sưu tập kỹ thuật số, nhưng sau khi phân tích kỹ lưỡng, chúng tôi phát hiện ra rằng hợp đồng bán hàng của họ có những lỗ hổng bảo mật nghiêm trọng. Lỗ hổng này cho phép người dùng độc hại có thể không tốn chi phí để đang đúc các bộ sưu tập và thu lợi bất chính từ việc bán chúng.
Nguồn gốc vấn đề nằm ở sự thiếu sót trong cơ chế xác minh chữ ký của người dùng trong danh sách trắng. Hợp đồng không đảm bảo tính độc quyền và việc chỉ sử dụng một lần của chữ ký trong danh sách trắng, điều này đã dẫn đến việc kẻ tấn công có thể tái sử dụng chữ ký của những người dùng khác trong danh sách trắng để đang đúc các bộ sưu tập.
Từ mã hợp đồng, có thể thấy rõ rằng hàm xác thực không bao gồm địa chỉ của người khởi xướng giao dịch trong nội dung chữ ký. Đồng thời, cũng thiếu cơ chế ngăn chặn việc sử dụng lại chữ ký. Những biện pháp an toàn cơ bản này lẽ ra phải là kiến thức thông thường trong phát triển phần mềm.
Thật bất ngờ, một lỗ hổng rõ ràng như vậy lại xuất hiện trong một dự án được chú ý nhiều như vậy. Điều này không chỉ phơi bày sự lơ là của phía dự án trong việc kiểm tra an ninh, mà còn làm nổi bật những thách thức mà các dự án blockchain đang phải đối mặt về tính an toàn của mã.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng ngay cả những dự án lớn và nổi tiếng cũng có thể tồn tại những lỗ hổng bảo mật cơ bản. Đối với các dự án blockchain, việc kiểm tra an toàn mã nguồn và phát hiện lỗ hổng liên tục là vô cùng quan trọng. Đồng thời, điều này cũng đánh động toàn ngành, kêu gọi các bên liên quan chú trọng hơn đến việc xây dựng an toàn cho hợp đồng thông minh.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
6
Đăng lại
Chia sẻ
Bình luận
0/400
GasFeeThunder
· 18giờ trước
Một phiên bản sao chép nữa của ngày 12 tháng 4, dù có dữ liệu trong tay cũng vẫn không làm gì.
Xem bản gốcTrả lời0
ChainDetective
· 08-08 19:04
Ừm, lỗi cấp độ người mới như vậy cũng có thể được phát hành.
Xem bản gốcTrả lời0
WhaleSurfer
· 08-08 19:02
Không biết phát triển mà dám nhận đơn này của NBA.
Xem bản gốcTrả lời0
RugPullAlarm
· 08-08 19:01
Thật sự chỉ lấy đồ ngốc ra để thực hành à, ngay cả kiểm toán cơ bản cũng chưa làm.
Xem bản gốcTrả lời0
BlockchainGriller
· 08-08 18:58
Hãy xem kịch thật mạnh, người khác bị chơi đùa với đồ ngốc.
Xem bản gốcTrả lời0
OnchainHolmes
· 08-08 18:57
Hóa ra danh sách cho phép còn có thể sao chép và dán, chỉ cần có tay là có thể chơi đùa với mọi người.
Hợp đồng NFT NBA xuất hiện lỗ hổng bảo mật nghiêm trọng, cơ chế xác thực danh sách cho phép có thiếu sót.
NBA gần đây đã ra mắt một loạt các bộ sưu tập kỹ thuật số, nhưng sau khi phân tích kỹ lưỡng, chúng tôi phát hiện ra rằng hợp đồng bán hàng của họ có những lỗ hổng bảo mật nghiêm trọng. Lỗ hổng này cho phép người dùng độc hại có thể không tốn chi phí để đang đúc các bộ sưu tập và thu lợi bất chính từ việc bán chúng.
Nguồn gốc vấn đề nằm ở sự thiếu sót trong cơ chế xác minh chữ ký của người dùng trong danh sách trắng. Hợp đồng không đảm bảo tính độc quyền và việc chỉ sử dụng một lần của chữ ký trong danh sách trắng, điều này đã dẫn đến việc kẻ tấn công có thể tái sử dụng chữ ký của những người dùng khác trong danh sách trắng để đang đúc các bộ sưu tập.
Từ mã hợp đồng, có thể thấy rõ rằng hàm xác thực không bao gồm địa chỉ của người khởi xướng giao dịch trong nội dung chữ ký. Đồng thời, cũng thiếu cơ chế ngăn chặn việc sử dụng lại chữ ký. Những biện pháp an toàn cơ bản này lẽ ra phải là kiến thức thông thường trong phát triển phần mềm.
Thật bất ngờ, một lỗ hổng rõ ràng như vậy lại xuất hiện trong một dự án được chú ý nhiều như vậy. Điều này không chỉ phơi bày sự lơ là của phía dự án trong việc kiểm tra an ninh, mà còn làm nổi bật những thách thức mà các dự án blockchain đang phải đối mặt về tính an toàn của mã.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng ngay cả những dự án lớn và nổi tiếng cũng có thể tồn tại những lỗ hổng bảo mật cơ bản. Đối với các dự án blockchain, việc kiểm tra an toàn mã nguồn và phát hiện lỗ hổng liên tục là vô cùng quan trọng. Đồng thời, điều này cũng đánh động toàn ngành, kêu gọi các bên liên quan chú trọng hơn đến việc xây dựng an toàn cho hợp đồng thông minh.