NBA gần đây đã phát hành các món đồ sưu tầm kỹ thuật số, nhưng điều đáng lo ngại là trong hợp đồng bán hàng của họ có một lỗ hổng nghiêm trọng. Các nhà nghiên cứu bảo mật phát hiện ra rằng, người dùng độc hại có thể lợi dụng lỗ hổng này để đang đúc các món đồ sưu tầm mà không cần phải trả bất kỳ khoản phí nào và thu lợi bất chính thông qua việc bán chúng.
Nguồn gốc của mối nguy hiểm an ninh này nằm ở việc cơ chế xác minh chữ ký của người dùng trong danh sách trắng của hợp đồng có những thiếu sót. Cụ thể, hợp đồng không đảm bảo rằng chữ ký trong danh sách trắng chỉ được sử dụng bởi những người dùng cụ thể, và mỗi chữ ký chỉ có thể được sử dụng một lần. Điều này dẫn đến việc kẻ tấn công có thể tái sử dụng chữ ký của người dùng khác trong danh sách trắng để đang đúc các bộ sưu tập.
Từ phân tích mã hợp đồng có thể thấy, hàm verify khi xác thực chữ ký không đưa địa chỉ của người phát động giao dịch vào nội dung chữ ký. Hơn nữa, hợp đồng cũng không thực hiện cơ chế ngăn chặn việc sử dụng lại chữ ký. Những biện pháp an toàn này lẽ ra phải là kiến thức cơ bản trong phát triển phần mềm, nhưng lại bị bỏ qua trong một dự án nổi tiếng như vậy, thật khó tin.
Sự kiện này đã làm nổi bật rằng trong quá trình phát triển dự án blockchain, ngay cả các tổ chức lớn cũng có thể bỏ qua những thực hành an toàn cơ bản. Nó nhắc nhở chúng ta rằng, khi thiết kế hợp đồng thông minh, phải đặc biệt chú ý đến các chi tiết bảo mật, đặc biệt là khi xử lý quyền của người dùng và xác thực giao dịch. Đồng thời, điều này cũng nhấn mạnh tầm quan trọng của việc tiến hành kiểm toán an ninh toàn diện và chuyên nghiệp trước khi dự án ra mắt, để tránh những lỗ hổng tương tự gây ra tổn thất tiềm tàng cho người dùng và dự án.
Đối với các bên tham gia trong ngành công nghiệp blockchain, trường hợp này là một lời cảnh báo: bất kể quy mô dự án như thế nào, không thể bỏ qua các nguyên tắc an toàn cơ bản. Nhóm phát triển nên liên tục học hỏi và cập nhật kiến thức về an toàn, và thực hiện kiểm tra an toàn một cách nghiêm ngặt ở tất cả các giai đoạn của dự án. Đồng thời, người dùng cũng nên giữ sự cảnh giác khi tham gia bất kỳ dự án blockchain nào, hiểu rõ các rủi ro tiềm ẩn, và chọn các nền tảng đã được kiểm toán an toàn nghiêm ngặt để tương tác.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
9 thích
Phần thưởng
9
8
Đăng lại
Chia sẻ
Bình luận
0/400
OnchainFortuneTeller
· 07-27 01:03
Danh sách cho phép không kiểm tra chữ ký, trí thông minh này thật đáng lo ngại.
Xem bản gốcTrả lời0
RugPullAlarm
· 07-26 15:17
Số tiền này cuối cùng sẽ chảy vào máy trộn tiền mã hóa Tornado, chắc chắn sẽ có chuyện lớn xảy ra.
Xem bản gốcTrả lời0
WhaleWatcher
· 07-24 17:47
Trí tuệ này đã nộp thuế trí tuệ rồi.
Xem bản gốcTrả lời0
CodeAuditQueen
· 07-24 06:13
Lời nói cũ lại trở lại, liệu có ai đang ngủ khi kiểm tra không?
Xem bản gốcTrả lời0
AirdropSweaterFan
· 07-24 06:06
Không biết viết cơ chế ký tên? Gà mờ đã bị xác thực.
Xem bản gốcTrả lời0
AirdropChaser
· 07-24 05:56
Hắn còn muốn kiếm tiền của tôi? Bẫy đã bị tôi nhìn thấu.
Xem bản gốcTrả lời0
ChainWatcher
· 07-24 05:51
Hợp đồng không được kiểm toán trước sao? Thật không thể tin được!
Hợp đồng sưu tầm số NBA hiện có lỗ hổng nghiêm trọng, xác minh chữ ký trong Danh sách cho phép có khuyết điểm.
NBA gần đây đã phát hành các món đồ sưu tầm kỹ thuật số, nhưng điều đáng lo ngại là trong hợp đồng bán hàng của họ có một lỗ hổng nghiêm trọng. Các nhà nghiên cứu bảo mật phát hiện ra rằng, người dùng độc hại có thể lợi dụng lỗ hổng này để đang đúc các món đồ sưu tầm mà không cần phải trả bất kỳ khoản phí nào và thu lợi bất chính thông qua việc bán chúng.
Nguồn gốc của mối nguy hiểm an ninh này nằm ở việc cơ chế xác minh chữ ký của người dùng trong danh sách trắng của hợp đồng có những thiếu sót. Cụ thể, hợp đồng không đảm bảo rằng chữ ký trong danh sách trắng chỉ được sử dụng bởi những người dùng cụ thể, và mỗi chữ ký chỉ có thể được sử dụng một lần. Điều này dẫn đến việc kẻ tấn công có thể tái sử dụng chữ ký của người dùng khác trong danh sách trắng để đang đúc các bộ sưu tập.
Từ phân tích mã hợp đồng có thể thấy, hàm verify khi xác thực chữ ký không đưa địa chỉ của người phát động giao dịch vào nội dung chữ ký. Hơn nữa, hợp đồng cũng không thực hiện cơ chế ngăn chặn việc sử dụng lại chữ ký. Những biện pháp an toàn này lẽ ra phải là kiến thức cơ bản trong phát triển phần mềm, nhưng lại bị bỏ qua trong một dự án nổi tiếng như vậy, thật khó tin.
Sự kiện này đã làm nổi bật rằng trong quá trình phát triển dự án blockchain, ngay cả các tổ chức lớn cũng có thể bỏ qua những thực hành an toàn cơ bản. Nó nhắc nhở chúng ta rằng, khi thiết kế hợp đồng thông minh, phải đặc biệt chú ý đến các chi tiết bảo mật, đặc biệt là khi xử lý quyền của người dùng và xác thực giao dịch. Đồng thời, điều này cũng nhấn mạnh tầm quan trọng của việc tiến hành kiểm toán an ninh toàn diện và chuyên nghiệp trước khi dự án ra mắt, để tránh những lỗ hổng tương tự gây ra tổn thất tiềm tàng cho người dùng và dự án.
Đối với các bên tham gia trong ngành công nghiệp blockchain, trường hợp này là một lời cảnh báo: bất kể quy mô dự án như thế nào, không thể bỏ qua các nguyên tắc an toàn cơ bản. Nhóm phát triển nên liên tục học hỏi và cập nhật kiến thức về an toàn, và thực hiện kiểm tra an toàn một cách nghiêm ngặt ở tất cả các giai đoạn của dự án. Đồng thời, người dùng cũng nên giữ sự cảnh giác khi tham gia bất kỳ dự án blockchain nào, hiểu rõ các rủi ro tiềm ẩn, và chọn các nền tảng đã được kiểm toán an toàn nghiêm ngặt để tương tác.