أصدرت NBA مؤخرًا مجموعة من المقتنيات الرقمية، لكن ما يثير القلق هو وجود ثغرات كبيرة في عقد البيع الخاص بها. اكتشف الباحثون في مجال الأمن أن المستخدمين الضارين يمكنهم استغلال هذه الثغرة لصك المقتنيات دون دفع أي رسوم، وجني المنافع غير المشروعة من خلال بيعها.
تكمن جذور هذه الثغرة الأمنية في وجود عيب في آلية التحقق من توقيع المستخدمين في القائمة البيضاء في العقد. بشكل أكثر تحديدًا، لم يضمن العقد أن توقيعات القائمة البيضاء محصورة في مستخدمين محددين، وأن كل توقيع يمكن استخدامه لمرة واحدة فقط. مما سمح للمهاجمين بإعادة استخدام توقيعات مستخدمين آخرين في القائمة البيضاء لصك العناصر القابلة للتحصيل.
من تحليل رمز العقد، يتضح أن دالة verify لم تأخذ عنوان مُ initiator المعاملة في محتوى التوقيع أثناء التحقق من التوقيع. بالإضافة إلى ذلك، لم يتم تنفيذ آلية لمنع إعادة استخدام التوقيع في العقد. كان يجب أن تكون هذه التدابير الأمنية من أساسيات تطوير البرمجيات، ولكن تم تجاهلها في مشروع معروف إلى هذا الحد، مما يجعل الأمر لا يصدق.
!
تسلط هذه الحادثة الضوء على أنه حتى المنظمات الكبيرة قد تتجاهل الممارسات الأمنية الأساسية أثناء تطوير مشاريع blockchain. تذكرنا بأنه يجب أن نكون حذرين للغاية بشأن تفاصيل الأمان عند تصميم العقود الذكية، خاصة عند التعامل مع صلاحيات المستخدم والتحقق من المعاملات. في الوقت نفسه، يبرز هذا أيضًا أهمية إجراء تدقيق أمني شامل ومحترف قبل إطلاق المشروع لتجنب الثغرات المماثلة التي قد تتسبب في خسائر محتملة للمستخدمين والمشروع.
بالنسبة للمشاركين في صناعة blockchain، فإن هذه الحالة تعتبر تحذيرًا: بغض النظر عن حجم المشروع، لا ينبغي تجاهل المبادئ الأساسية للأمان. يجب على فريق التطوير الاستمرار في التعلم وتحديث المعرفة الأمنية، وتنفيذ فحوصات الأمان بشكل صارم في جميع مراحل المشروع. في الوقت نفسه، يجب على المستخدمين أن يظلوا يقظين عند المشاركة في أي مشروع blockchain، وأن يكونوا على دراية بالمخاطر المحتملة، وأن يختاروا المنصات التي خضعت لتدقيق أمني صارم للتفاعل.
!
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 9
أعجبني
9
8
إعادة النشر
مشاركة
تعليق
0/400
OnchainFortuneTeller
· 07-27 01:03
قائمة السماح لا تحقق التوقيع، هذه الذكاء مقلق حقًا.
شاهد النسخة الأصليةرد0
RugPullAlarm
· 07-26 15:17
هذا المال سيذهب في النهاية إلى جهاز خلط العملات تورنادو. لا بد أن هناك شيئًا كبيرًا.
شاهد النسخة الأصليةرد0
WhaleWatcher
· 07-24 17:47
هذا الذكاء دفع ضريبة الذكاء.
شاهد النسخة الأصليةرد0
CodeAuditQueen
· 07-24 06:13
عاد الحديث المكرر حول إعادة توقيع المعاملات. هل كان الجميع نائمين أثناء المراجعة؟
شاهد النسخة الأصليةرد0
AirdropSweaterFan
· 07-24 06:06
هل لا تستطيع كتابة آلية التوقيع؟ الدجاجة الخضراء تأكدت.
شاهد النسخة الأصليةرد0
AirdropChaser
· 07-24 05:56
هل لا يزال يريد كسب أموالي؟ لقد رأيت فخّه.
شاهد النسخة الأصليةرد0
ChainWatcher
· 07-24 05:51
هل لا تُدقق العقود أولاً؟ هذا غير معقول حقاً.
شاهد النسخة الأصليةرد0
RetailTherapist
· 07-24 05:49
مشروع كبير بهذا الحجم تم استغلاله، اللعنة على جدته.
عقد مقتنيات NBA الرقمية يحتوي على ثغرة كبيرة ، قائمة السماح تحتوي على عيوب في التحقق من التوقيع
أصدرت NBA مؤخرًا مجموعة من المقتنيات الرقمية، لكن ما يثير القلق هو وجود ثغرات كبيرة في عقد البيع الخاص بها. اكتشف الباحثون في مجال الأمن أن المستخدمين الضارين يمكنهم استغلال هذه الثغرة لصك المقتنيات دون دفع أي رسوم، وجني المنافع غير المشروعة من خلال بيعها.
تكمن جذور هذه الثغرة الأمنية في وجود عيب في آلية التحقق من توقيع المستخدمين في القائمة البيضاء في العقد. بشكل أكثر تحديدًا، لم يضمن العقد أن توقيعات القائمة البيضاء محصورة في مستخدمين محددين، وأن كل توقيع يمكن استخدامه لمرة واحدة فقط. مما سمح للمهاجمين بإعادة استخدام توقيعات مستخدمين آخرين في القائمة البيضاء لصك العناصر القابلة للتحصيل.
من تحليل رمز العقد، يتضح أن دالة verify لم تأخذ عنوان مُ initiator المعاملة في محتوى التوقيع أثناء التحقق من التوقيع. بالإضافة إلى ذلك، لم يتم تنفيذ آلية لمنع إعادة استخدام التوقيع في العقد. كان يجب أن تكون هذه التدابير الأمنية من أساسيات تطوير البرمجيات، ولكن تم تجاهلها في مشروع معروف إلى هذا الحد، مما يجعل الأمر لا يصدق.
!
تسلط هذه الحادثة الضوء على أنه حتى المنظمات الكبيرة قد تتجاهل الممارسات الأمنية الأساسية أثناء تطوير مشاريع blockchain. تذكرنا بأنه يجب أن نكون حذرين للغاية بشأن تفاصيل الأمان عند تصميم العقود الذكية، خاصة عند التعامل مع صلاحيات المستخدم والتحقق من المعاملات. في الوقت نفسه، يبرز هذا أيضًا أهمية إجراء تدقيق أمني شامل ومحترف قبل إطلاق المشروع لتجنب الثغرات المماثلة التي قد تتسبب في خسائر محتملة للمستخدمين والمشروع.
بالنسبة للمشاركين في صناعة blockchain، فإن هذه الحالة تعتبر تحذيرًا: بغض النظر عن حجم المشروع، لا ينبغي تجاهل المبادئ الأساسية للأمان. يجب على فريق التطوير الاستمرار في التعلم وتحديث المعرفة الأمنية، وتنفيذ فحوصات الأمان بشكل صارم في جميع مراحل المشروع. في الوقت نفسه، يجب على المستخدمين أن يظلوا يقظين عند المشاركة في أي مشروع blockchain، وأن يكونوا على دراية بالمخاطر المحتملة، وأن يختاروا المنصات التي خضعت لتدقيق أمني صارم للتفاعل.
!