- Тема
39k Популярність
14k Популярність
7k Популярність
16k Популярність
62k Популярність
31k Популярність
3k Популярність
96k Популярність
27k Популярність
27k Популярність
- Закріпити
39k Популярність
14k Популярність
7k Популярність
16k Популярність
62k Популярність
31k Популярність
3k Популярність
96k Популярність
27k Популярність
27k Популярність
У контракту цифрових колекцій НБА виявлено серйозну уразливість, яка дозволяє зловмисникам отримувати прибуток без витрат.
У контракті цифрових колекцій NBA виявлено серйозну вразливість, зловмисники можуть отримати прибуток без витрат
Нещодавно НБА запустила проект цифрових предметів колекціонування, але було виявлено, що смарт-контракт проекту має серйозні ризики для безпеки. Дослідники безпеки зазначили, що вразливість у контракті може бути використана зловмисниками для карбування та монетизації предметів колекціонування без жодних витрат.
Ця вразливість виникає через недоліки механізму перевірки підписів користувачів з білого списку в контракті. Конкретно, контракт не забезпечує ексклюзивність та одноразовість підписів білого списку. Це означає, що зловмисники можуть повторно використовувати підписи інших користувачів з білого списку для створення колекцій.
З витоку коду контракту видно, що функція verify не включає адресу відправника транзакції у зміст підпису під час перевірки підпису. Крім того, контракт не має механізму, що запобігає багаторазовому використанню підпису. Ці заходи безпеки мали б бути основними знаннями при розробці смарт-контрактів.
!
Експерти галузі висловили шок з цього приводу, вважаючи, що така базова вразливість безпеки могла з'явитися в такому відомому проекті, це дійсно важко повірити. Ця подія ще раз підкреслює, що в розробці блокчейн-проектів навіть найосновніші практики безпеки не можна ігнорувати.
Ця подія також стала тривожним сигналом для інших блокчейн-проектів. Вона нагадує розробникам про необхідність особливої обережності при розробці смарт-контрактів, зокрема щодо безпеки таких ключових етапів, як перевірка підписів і контроль доступу. Водночас це підкреслює важливість всебічного аудиту безпеки перед запуском проекту.
Зі швидким розвитком ринку цифрових предметів колекціонування може виникати все більше і більше подібних проблем безпеки. Тому і команді проекту, і користувачеві необхідно підвищити свою обізнаність щодо безпеки та вжити необхідних превентивних заходів. Також для інвесторів стає все більш важливим розуміти статус безпеки будь-якого цифрового колекційного проекту, перш ніж брати в ньому участь.
!