قامت NBA مؤخرًا بإطلاق مجموعة من المقتنيات الرقمية، ولكن بعد التحليل العميق، اكتشفنا أن هناك ثغرات أمنية كبيرة في عقود البيع الخاصة بها. هذه الثغرة تسمح للمستخدمين الخبثاء بتصنيع المقتنيات بدون تكلفة، وبيعها لتحقيق مكاسب غير مشروعة.
جذر المشكلة يكمن في عيب آلية التحقق من توقيع مستخدمي القائمة البيضاء. لم يتمكن العقد من ضمان خصوصية توقيع القائمة البيضاء واستخدامه لمرة واحدة، مما أدى إلى قدرة المهاجمين على إعادة استخدام توقيعات مستخدمين آخرين في القائمة البيضاء لالسك التحف.
من الشيفرة العقدية، يمكن رؤية بوضوح أن وظيفة التحقق لم تشمل عنوان مُقدم المعاملة في محتوى التوقيع. في الوقت نفسه، تفتقر أيضًا إلى آلية لمنع إعادة استخدام التوقيع. كان يجب أن تكون هذه التدابير الأمنية الأساسية من المعرفة الشائعة في تطوير البرمجيات.
!
من المدهش أن تظهر ثغرة واضحة بهذا الشكل في مشروع يحظى باهتمام كبير. هذا لا يكشف فقط عن إهمال فريق المشروع في مراجعة الأمان، بل يبرز أيضًا التحديات التي تواجه مشاريع blockchain في مجال أمان الكود.
تُذكّرنا هذه الحادثة مرة أخرى بأنه حتى المشاريع الكبيرة والمعروفة قد تحتوي على ثغرات أمان أساسية. بالنسبة لمشاريع blockchain، فإن مراجعة أمان الشيفرة واكتشاف الثغرات بشكل مستمر يعتبران أمرين مهمين للغاية. وفي الوقت نفسه، يُعتبر ذلك جرس إنذار لصناعة بأكملها، داعيًا جميع الأطراف إلى إعطاء أهمية أكبر لبناء أمان العقود الذكية.
!
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 10
أعجبني
10
6
إعادة النشر
مشاركة
تعليق
0/400
GasFeeThunder
· منذ 19 س
نسخة مقلدة أخرى من 12 أبريل مع وجود البيانات في اليد ولكن لا يزال الوضع سيئاً
شاهد النسخة الأصليةرد0
ChainDetective
· 08-08 19:04
تسك: يمكن أيضا أن يكون هذا النوع من الأخطاء الصغيرة ذات المستوى الأبيض متصلا بالإنترنت
شاهد النسخة الأصليةرد0
WhaleSurfer
· 08-08 19:02
لن يجرؤ على قبول هذه الصفقة في الدوري الأمريكي للمحترفين إذا لم يكن لديه القدرة على التطوير.
شاهد النسخة الأصليةرد0
RugPullAlarm
· 08-08 19:01
لقد تدربت حقا مع الكراث ولم أقم حتى بإجراء تدقيق أولي
شاهد النسخة الأصليةرد0
BlockchainGriller
· 08-08 18:58
شاهد بجد، الحمقى يتعرضون للخداع بينما يتعرض الحمقى للخداع.
شاهد النسخة الأصليةرد0
OnchainHolmes
· 08-08 18:57
原来 قائمة السماح还能复制粘贴 有手就能 خداع الناس لتحقيق الربح
ظهر عيب أمني خطير في عقد مجموعة NBA الرقمية، حيث يوجد نقص في آلية التحقق من قائمة السماح.
قامت NBA مؤخرًا بإطلاق مجموعة من المقتنيات الرقمية، ولكن بعد التحليل العميق، اكتشفنا أن هناك ثغرات أمنية كبيرة في عقود البيع الخاصة بها. هذه الثغرة تسمح للمستخدمين الخبثاء بتصنيع المقتنيات بدون تكلفة، وبيعها لتحقيق مكاسب غير مشروعة.
جذر المشكلة يكمن في عيب آلية التحقق من توقيع مستخدمي القائمة البيضاء. لم يتمكن العقد من ضمان خصوصية توقيع القائمة البيضاء واستخدامه لمرة واحدة، مما أدى إلى قدرة المهاجمين على إعادة استخدام توقيعات مستخدمين آخرين في القائمة البيضاء لالسك التحف.
من الشيفرة العقدية، يمكن رؤية بوضوح أن وظيفة التحقق لم تشمل عنوان مُقدم المعاملة في محتوى التوقيع. في الوقت نفسه، تفتقر أيضًا إلى آلية لمنع إعادة استخدام التوقيع. كان يجب أن تكون هذه التدابير الأمنية الأساسية من المعرفة الشائعة في تطوير البرمجيات.
!
من المدهش أن تظهر ثغرة واضحة بهذا الشكل في مشروع يحظى باهتمام كبير. هذا لا يكشف فقط عن إهمال فريق المشروع في مراجعة الأمان، بل يبرز أيضًا التحديات التي تواجه مشاريع blockchain في مجال أمان الكود.
تُذكّرنا هذه الحادثة مرة أخرى بأنه حتى المشاريع الكبيرة والمعروفة قد تحتوي على ثغرات أمان أساسية. بالنسبة لمشاريع blockchain، فإن مراجعة أمان الشيفرة واكتشاف الثغرات بشكل مستمر يعتبران أمرين مهمين للغاية. وفي الوقت نفسه، يُعتبر ذلك جرس إنذار لصناعة بأكملها، داعيًا جميع الأطراف إلى إعطاء أهمية أكبر لبناء أمان العقود الذكية.
!