Un grave problème de sécurité a été découvert dans le contrat des collections numériques NBA, avec des défauts dans le mécanisme de vérification de l'Allowlist.
La NBA a récemment lancé une série de collections numériques, mais après une analyse approfondie, nous avons découvert que leurs contrats de vente présentent de graves vulnérabilités de sécurité. Cette faille permet à des utilisateurs malveillants de minting des collections sans frais et d'obtenir des profits indus par la vente.
La racine du problème réside dans le défaut du mécanisme de vérification des signatures des utilisateurs sur la liste blanche. Le contrat n'a pas réussi à garantir l'exclusivité et l'utilisation unique des signatures de la liste blanche, ce qui a permis aux attaquants de réutiliser les signatures d'autres utilisateurs de la liste blanche pour le minting des objets de collection.
Il est clair à partir du code du contrat que la fonction de vérification n'inclut pas l'adresse de l'initiateur de la transaction dans le contenu de la signature. De plus, il manque un mécanisme pour empêcher la réutilisation des signatures. Ces mesures de sécurité de base devraient être des connaissances communes dans le développement logiciel.
Il est surprenant qu'une telle vulnérabilité évidente se soit manifestée dans un projet très en vue. Cela révèle non seulement la négligence de l'équipe du projet en matière d'audit de sécurité, mais souligne également les défis auxquels les projets blockchain font face en termes de sécurité du code.
Cet événement nous rappelle une fois de plus que même les projets de grande envergure et bien connus peuvent présenter des vulnérabilités fondamentales en matière de sécurité. Pour les projets de blockchain, l'audit de la sécurité du code et la détection continue des vulnérabilités sont particulièrement importants. En même temps, cela sonne également l'alarme pour l'ensemble de l'industrie, appelant toutes les parties à accorder une plus grande attention à la construction de la sécurité des contrats intelligents.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
10 J'aime
Récompense
10
6
Reposter
Partager
Commentaire
0/400
GasFeeThunder
· Il y a 8h
Encore une version répliquée du 12 avril, même avec les données en main, c'est toujours la débandade.
Voir l'originalRépondre0
ChainDetective
· Il y a 14h
Eh bien, ce genre de bug de débutant peut aussi être mis en ligne.
Voir l'originalRépondre0
WhaleSurfer
· Il y a 15h
Ceux qui ne savent pas développer osent encore prendre cette commande NBA.
Voir l'originalRépondre0
RugPullAlarm
· Il y a 15h
On se pratique vraiment sur les pigeons, même pas de premier audit fait.
Voir l'originalRépondre0
BlockchainGriller
· Il y a 15h
Regardez bien, les pigeons se font prendre pour des cons par d'autres.
Voir l'originalRépondre0
OnchainHolmes
· Il y a 15h
Il s'avère que l'Allowlist peut également être copiée et collée, vous pouvez prendre les gens pour des idiots avec vos mains.
Un grave problème de sécurité a été découvert dans le contrat des collections numériques NBA, avec des défauts dans le mécanisme de vérification de l'Allowlist.
La NBA a récemment lancé une série de collections numériques, mais après une analyse approfondie, nous avons découvert que leurs contrats de vente présentent de graves vulnérabilités de sécurité. Cette faille permet à des utilisateurs malveillants de minting des collections sans frais et d'obtenir des profits indus par la vente.
La racine du problème réside dans le défaut du mécanisme de vérification des signatures des utilisateurs sur la liste blanche. Le contrat n'a pas réussi à garantir l'exclusivité et l'utilisation unique des signatures de la liste blanche, ce qui a permis aux attaquants de réutiliser les signatures d'autres utilisateurs de la liste blanche pour le minting des objets de collection.
Il est clair à partir du code du contrat que la fonction de vérification n'inclut pas l'adresse de l'initiateur de la transaction dans le contenu de la signature. De plus, il manque un mécanisme pour empêcher la réutilisation des signatures. Ces mesures de sécurité de base devraient être des connaissances communes dans le développement logiciel.
Il est surprenant qu'une telle vulnérabilité évidente se soit manifestée dans un projet très en vue. Cela révèle non seulement la négligence de l'équipe du projet en matière d'audit de sécurité, mais souligne également les défis auxquels les projets blockchain font face en termes de sécurité du code.
Cet événement nous rappelle une fois de plus que même les projets de grande envergure et bien connus peuvent présenter des vulnérabilités fondamentales en matière de sécurité. Pour les projets de blockchain, l'audit de la sécurité du code et la détection continue des vulnérabilités sont particulièrement importants. En même temps, cela sonne également l'alarme pour l'ensemble de l'industrie, appelant toutes les parties à accorder une plus grande attention à la construction de la sécurité des contrats intelligents.