NBAデジタルコレクション契約に重大な脆弱性が発覚、攻撃者は無コストで利益を得ることが可能

最近、NBAはデジタルコレクティブルプロジェクトを開始しましたが、プロジェクトのスマートコントラクトには大きなセキュリティリスクがあることが判明しました。 セキュリティ研究者は、コントラクトの脆弱性が悪意のある人物によって悪用され、収集品をゼロコストで鋳造および収益化する可能性があると指摘しています。

この脆弱性の根源は、契約がホワイトリストユーザーの署名を検証するメカニズムに欠陥があることにあります。具体的には、契約はホワイトリストの署名の排他性と一度きりの使用を確保できていません。これにより、攻撃者は他のホワイトリストユーザーの署名を再利用してコレクションを鋳造することができます。

漏洩したコントラクトコードからわかるように、検証機能では、署名を検証する際に、トランザクションの送信者のアドレスが署名に含まれていません。 また、コントラクトには、署名が複数回使用されるのを防ぐメカニズムがありません。 これらのセキュリティ対策は、スマートコントラクト開発における基本的な常識であるはずです。

!

業界の専門家はこれに衝撃を受け、これほど基本的なセキュリティの脆弱性がこれほど有名なプロジェクトに現れるとは信じ難いと考えています。この事件は、ブロックチェーンプロジェクトの開発において、最も基本的なセキュリティの実践でさえ無視できないことを再び浮き彫りにしました。

今回の事件は他のブロックチェーンプロジェクトにも警鐘を鳴らしました。これは、開発者がスマートコントラクトを設計する際に、特に署名検証や権限管理などの重要な部分の安全性に細心の注意を払う必要があることを思い出させます。同時に、プロジェクトのローンチ前に包括的なセキュリティ監査を行うことの重要性も浮き彫りにしています。

デジタルコレクション市場の急速な発展に伴い、同様の安全問題が増加する可能性があります。したがって、プロジェクト側もユーザーも、安全意識を高め、必要な防止策を講じる必要があります。投資家にとって、どのデジタルコレクションプロジェクトに参加する前にも、その安全状況を理解することがますます重要になっています。

!