NBAは最近、一連のデジタルコレクションを発表しましたが、詳細に分析した結果、その販売契約に重大なセキュリティ上の欠陥があることが判明しました。この脆弱性により、悪意のあるユーザーがコストなしでコレクションをミンティングでき、販売を通じて不当な利益を得ることができます。問題の根源は、ホワイトリストユーザーの署名検証メカニズムの欠陥にあります。契約はホワイトリスト署名の専属性と一度限りの使用を保証できなかったため、攻撃者は他のホワイトリストユーザーの署名を繰り返し利用してミンティングを行うことができました。契約コードから明らかなように、検証関数はトランザクションの発起者のアドレスを署名内容に含めていません。また、署名の再利用を防ぐメカニズムも欠けています。これらの基本的なセキュリティ対策は、ソフトウェア開発における常識的な知識であるべきです。! [](https://img-cdn.gateio.im/social/moments-3b4cab0f6f08f9428244a6f632daeec5)驚くべきことに、こんなに明らかな脆弱性が注目を集めているプロジェクトに現れるとは。このことは、プロジェクトチームのセキュリティ監査における怠慢を暴露するだけでなく、ブロックチェーンプロジェクトがコードの安全性において直面する課題を浮き彫りにしています。この事件は再び、規模が大きく知名度の高いプロジェクトでさえ、基礎的なセキュリティの脆弱性が存在する可能性があることを私たちに思い出させます。ブロックチェーンプロジェクトにとって、コードのセキュリティ監査と継続的な脆弱性検出が特に重要です。同時に、これも業界全体に警鐘を鳴らし、各方面がスマートコントラクトのセキュリティの構築をより重視するよう呼びかけています。! [](https://img-cdn.gateio.im/social/moments-0ad924d42b81d2420098807e5c18d565)
NBAデジタルコレクション契約に深刻なセキュリティ脆弱性が発見され、許可リスト検証メカニズムに欠陥が存在
NBAは最近、一連のデジタルコレクションを発表しましたが、詳細に分析した結果、その販売契約に重大なセキュリティ上の欠陥があることが判明しました。この脆弱性により、悪意のあるユーザーがコストなしでコレクションをミンティングでき、販売を通じて不当な利益を得ることができます。
問題の根源は、ホワイトリストユーザーの署名検証メカニズムの欠陥にあります。契約はホワイトリスト署名の専属性と一度限りの使用を保証できなかったため、攻撃者は他のホワイトリストユーザーの署名を繰り返し利用してミンティングを行うことができました。
契約コードから明らかなように、検証関数はトランザクションの発起者のアドレスを署名内容に含めていません。また、署名の再利用を防ぐメカニズムも欠けています。これらの基本的なセキュリティ対策は、ソフトウェア開発における常識的な知識であるべきです。
!
驚くべきことに、こんなに明らかな脆弱性が注目を集めているプロジェクトに現れるとは。このことは、プロジェクトチームのセキュリティ監査における怠慢を暴露するだけでなく、ブロックチェーンプロジェクトがコードの安全性において直面する課題を浮き彫りにしています。
この事件は再び、規模が大きく知名度の高いプロジェクトでさえ、基礎的なセキュリティの脆弱性が存在する可能性があることを私たちに思い出させます。ブロックチェーンプロジェクトにとって、コードのセキュリティ監査と継続的な脆弱性検出が特に重要です。同時に、これも業界全体に警鐘を鳴らし、各方面がスマートコントラクトのセキュリティの構築をより重視するよう呼びかけています。
!