NBA baru-baru ini meluncurkan koleksi digital, tetapi yang mengkhawatirkan adalah terdapat celah serius dalam kontrak penjualannya. Peneliti keamanan menemukan bahwa pelaku jahat dapat memanfaatkan celah ini untuk mencetak koleksi tanpa biaya, dan mendapatkan keuntungan yang tidak semestinya melalui penjualan.
Sumber dari risiko keamanan ini terletak pada adanya cacat dalam mekanisme verifikasi tanda tangan untuk pengguna tertentu. Secara spesifik, kontrak tidak berhasil memastikan bahwa tanda tangan pengguna di daftar putih hanya digunakan oleh pengguna tertentu, dan setiap tanda tangan hanya dapat digunakan sekali. Hal ini memberikan kemungkinan bagi penyerang untuk menggunakan kembali tanda tangan pengguna lain dalam daftar putih untuk pencetakan koleksi.
Dari analisis kode kontrak, dapat dilihat bahwa fungsi verify tidak memasukkan alamat pengirim transaksi dalam konten tanda tangan selama proses verifikasi. Selain itu, juga tidak ada mekanisme untuk mencegah penggunaan ulang tanda tangan. Langkah-langkah keamanan ini seharusnya merupakan pengetahuan dasar dalam pengembangan perangkat lunak. Sulit dipercaya bahwa celah yang begitu mendasar muncul dalam proyek yang memiliki reputasi setinggi ini.
Peristiwa ini sekali lagi menyoroti pentingnya mematuhi praktik terbaik keamanan dengan ketat dalam pengembangan proyek blockchain, terutama dalam desain kontrak yang melibatkan aset digital. Ini mengingatkan kita bahwa bahkan organisasi besar pun dapat mengabaikan langkah-langkah keamanan dasar, sehingga penting untuk melakukan audit keamanan menyeluruh dan deteksi kerentanan yang berkelanjutan pada semua kontrak pintar.
Dalam perkembangan pasar koleksi digital yang pesat saat ini, masalah keamanan serupa dapat menjadi ancaman serius bagi kepentingan pengguna dan kesehatan perkembangan seluruh ekosistem. Oleh karena itu, pihak proyek harus lebih memperhatikan keamanan kontrak, meningkatkan pelatihan kesadaran keamanan tim, dan memperkenalkan mekanisme tinjauan kode yang lebih ketat selama proses pengembangan. Sementara itu, pengguna juga harus tetap waspada saat berpartisipasi dalam proyek koleksi digital apapun, dan memperhatikan kondisi keamanan serta laporan audit proyek.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
13 Suka
Hadiah
13
8
Posting ulang
Bagikan
Komentar
0/400
GateUser-7b078580
· 07-16 21:58
Sejarah menunjukkan bahwa jenis bug tingkat rendah ini telah menyebabkan 11 kebangkrutan.
Lihat AsliBalas0
SlowLearnerWang
· 07-16 01:02
Ah, ini, dasar-dasar verifikasi hash saja belum paham, pantas saja kena Kupon Klip.
Lihat AsliBalas0
NftBankruptcyClub
· 07-14 21:05
Sekali lagi kontrak low dianggap bodoh
Lihat AsliBalas0
IntrovertMetaverse
· 07-14 21:05
Kontrak ditulis dengan begitu konyol, apa auditor juga sedang bermain-main?
Lihat AsliBalas0
CryptoDouble-O-Seven
· 07-14 21:05
Datang lagi NFT pacar putih
Lihat AsliBalas0
GateUser-c802f0e8
· 07-14 21:05
Apakah ini lagi ladang pemanenan suckers yang baru?
Kontrak koleksi digital NBA mengalami celah besar. Penyerang dapat mencetak tanpa biaya untuk mendapatkan keuntungan.
NBA baru-baru ini meluncurkan koleksi digital, tetapi yang mengkhawatirkan adalah terdapat celah serius dalam kontrak penjualannya. Peneliti keamanan menemukan bahwa pelaku jahat dapat memanfaatkan celah ini untuk mencetak koleksi tanpa biaya, dan mendapatkan keuntungan yang tidak semestinya melalui penjualan.
Sumber dari risiko keamanan ini terletak pada adanya cacat dalam mekanisme verifikasi tanda tangan untuk pengguna tertentu. Secara spesifik, kontrak tidak berhasil memastikan bahwa tanda tangan pengguna di daftar putih hanya digunakan oleh pengguna tertentu, dan setiap tanda tangan hanya dapat digunakan sekali. Hal ini memberikan kemungkinan bagi penyerang untuk menggunakan kembali tanda tangan pengguna lain dalam daftar putih untuk pencetakan koleksi.
Dari analisis kode kontrak, dapat dilihat bahwa fungsi verify tidak memasukkan alamat pengirim transaksi dalam konten tanda tangan selama proses verifikasi. Selain itu, juga tidak ada mekanisme untuk mencegah penggunaan ulang tanda tangan. Langkah-langkah keamanan ini seharusnya merupakan pengetahuan dasar dalam pengembangan perangkat lunak. Sulit dipercaya bahwa celah yang begitu mendasar muncul dalam proyek yang memiliki reputasi setinggi ini.
Peristiwa ini sekali lagi menyoroti pentingnya mematuhi praktik terbaik keamanan dengan ketat dalam pengembangan proyek blockchain, terutama dalam desain kontrak yang melibatkan aset digital. Ini mengingatkan kita bahwa bahkan organisasi besar pun dapat mengabaikan langkah-langkah keamanan dasar, sehingga penting untuk melakukan audit keamanan menyeluruh dan deteksi kerentanan yang berkelanjutan pada semua kontrak pintar.
Dalam perkembangan pasar koleksi digital yang pesat saat ini, masalah keamanan serupa dapat menjadi ancaman serius bagi kepentingan pengguna dan kesehatan perkembangan seluruh ekosistem. Oleh karena itu, pihak proyek harus lebih memperhatikan keamanan kontrak, meningkatkan pelatihan kesadaran keamanan tim, dan memperkenalkan mekanisme tinjauan kode yang lebih ketat selama proses pengembangan. Sementara itu, pengguna juga harus tetap waspada saat berpartisipasi dalam proyek koleksi digital apapun, dan memperhatikan kondisi keamanan serta laporan audit proyek.