Kontrak koleksi digital NBA memiliki risiko keamanan yang serius
Baru-baru ini, NBA meluncurkan serangkaian koleksi digital yang menarik perhatian luas di pasar. Namun, para ahli keamanan menemukan bahwa ada celah besar dalam kontrak penjualan koleksi digital ini. Celah ini dapat dimanfaatkan oleh pihak yang tidak bertanggung jawab untuk mencetak koleksi tanpa biaya dan meraih keuntungan dari situ.
Penyebab mendasar dari risiko keamanan ini terletak pada cacat mekanisme verifikasi tanda tangan pengguna dalam daftar putih oleh kontrak. Secara khusus, kontrak gagal memastikan eksklusivitas dan penggunaan sekali saja dari tanda tangan daftar putih. Ini berarti penyerang dapat menggunakan ulang tanda tangan pengguna daftar putih lainnya untuk mencetak koleksi.
Dari sudut pandang teknis, desain fungsi verify dalam kontrak memiliki cacat yang jelas. Fungsi ini dalam melakukan verifikasi tanda tangan, tidak memasukkan alamat pengirim ke dalam konten tanda tangan, dan juga kurang memiliki mekanisme untuk mencegah penggunaan ulang tanda tangan. Hal-hal ini seharusnya termasuk dalam pengetahuan dasar keamanan perangkat lunak, namun diabaikan dalam proyek yang begitu terkenal, sungguh mengejutkan.
Peristiwa ini sekali lagi menyoroti pentingnya audit keamanan dalam pengembangan proyek blockchain. Bahkan organisasi besar seperti NBA pun dapat mengalami kelalaian dalam proses implementasi teknis. Bagi semua pihak yang terlibat di pasar koleksi digital, baik penerbit maupun pembeli, harus meningkatkan kewaspadaan dan memperhatikan keamanan teknis proyek.
Pada saat yang sama, ini juga memberikan peringatan bagi seluruh industri. Seiring dengan perkembangan pesat pasar koleksi digital, standar keamanan yang relevan dan praktik terbaik perlu segera dibangun dan disempurnakan. Tim pengembang harus lebih memperhatikan pelaksanaan langkah-langkah keamanan dasar, termasuk tetapi tidak terbatas pada implementasi yang benar dari mekanisme verifikasi tanda tangan, perlindungan terhadap serangan replay, dan sebagainya.
Secara keseluruhan, insiden celah kontrak NFT NBA kali ini tidak hanya mengungkapkan kekurangan teknis dari proyek tertentu, tetapi juga mencerminkan kekurangan kesadaran dan praktik keamanan di seluruh industri. Harapannya, melalui insiden ini, semua pihak dalam industri dapat lebih memperhatikan keamanan proyek blockchain dan bersama-sama membangun ekosistem koleksi digital yang lebih aman dan dapat diandalkan.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
16 Suka
Hadiah
16
3
Posting ulang
Bagikan
Komentar
0/400
ThesisInvestor
· 08-06 07:35
Agak keterlaluan ya, celah dasar kontrak seperti ini juga bisa muncul??
Lihat AsliBalas0
LayerZeroHero
· 08-06 07:16
Sekali lagi fungsi verify bermasalah, bug seperti ini saja berani masuk Mainnet untuk pengujian.
Lihat AsliBalas0
StakeTillRetire
· 08-06 07:11
Ini sudah diluncurkan? Yang menulis kontraknya bukan magang, kan?
Kontrak koleksi digital NBA kini memiliki celah besar. Mekanisme pencetakan memiliki risiko keamanan.
Kontrak koleksi digital NBA memiliki risiko keamanan yang serius
Baru-baru ini, NBA meluncurkan serangkaian koleksi digital yang menarik perhatian luas di pasar. Namun, para ahli keamanan menemukan bahwa ada celah besar dalam kontrak penjualan koleksi digital ini. Celah ini dapat dimanfaatkan oleh pihak yang tidak bertanggung jawab untuk mencetak koleksi tanpa biaya dan meraih keuntungan dari situ.
Penyebab mendasar dari risiko keamanan ini terletak pada cacat mekanisme verifikasi tanda tangan pengguna dalam daftar putih oleh kontrak. Secara khusus, kontrak gagal memastikan eksklusivitas dan penggunaan sekali saja dari tanda tangan daftar putih. Ini berarti penyerang dapat menggunakan ulang tanda tangan pengguna daftar putih lainnya untuk mencetak koleksi.
Dari sudut pandang teknis, desain fungsi verify dalam kontrak memiliki cacat yang jelas. Fungsi ini dalam melakukan verifikasi tanda tangan, tidak memasukkan alamat pengirim ke dalam konten tanda tangan, dan juga kurang memiliki mekanisme untuk mencegah penggunaan ulang tanda tangan. Hal-hal ini seharusnya termasuk dalam pengetahuan dasar keamanan perangkat lunak, namun diabaikan dalam proyek yang begitu terkenal, sungguh mengejutkan.
Peristiwa ini sekali lagi menyoroti pentingnya audit keamanan dalam pengembangan proyek blockchain. Bahkan organisasi besar seperti NBA pun dapat mengalami kelalaian dalam proses implementasi teknis. Bagi semua pihak yang terlibat di pasar koleksi digital, baik penerbit maupun pembeli, harus meningkatkan kewaspadaan dan memperhatikan keamanan teknis proyek.
Pada saat yang sama, ini juga memberikan peringatan bagi seluruh industri. Seiring dengan perkembangan pesat pasar koleksi digital, standar keamanan yang relevan dan praktik terbaik perlu segera dibangun dan disempurnakan. Tim pengembang harus lebih memperhatikan pelaksanaan langkah-langkah keamanan dasar, termasuk tetapi tidak terbatas pada implementasi yang benar dari mekanisme verifikasi tanda tangan, perlindungan terhadap serangan replay, dan sebagainya.
Secara keseluruhan, insiden celah kontrak NFT NBA kali ini tidak hanya mengungkapkan kekurangan teknis dari proyek tertentu, tetapi juga mencerminkan kekurangan kesadaran dan praktik keamanan di seluruh industri. Harapannya, melalui insiden ini, semua pihak dalam industri dapat lebih memperhatikan keamanan proyek blockchain dan bersama-sama membangun ekosistem koleksi digital yang lebih aman dan dapat diandalkan.