NBAデジタルコレクティブル契約に重大な脆弱性が発見され、攻撃者はコストなしでミンティングして利益を得ることができる。

NBAは最近デジタルコレクションを発売しましたが、懸念されるのは、その販売契約に深刻な脆弱性が存在することです。セキュリティ研究者は、悪意のある行為者がこの脆弱性を利用して無コストでコレクションをミンティングし、販売によって不当な利益を得ることができることを発見しました。

このセキュリティ上の脆弱性の根源は、特定のユーザーに対する署名検証メカニズムに欠陥が存在することです。具体的には、契約がホワイトリストユーザーの署名が特定のユーザーにのみ使用されることを保証しておらず、各署名が一度だけ使用されることを確保していません。これにより、攻撃者が他のホワイトリストユーザーの署名を再利用してコレクションをミンティングする可能性が生じています。

契約コードの分析から、verify関数が検証プロセスにおいて取引の発起者のアドレスを署名内容に含めていないことが分かります。また、署名の再利用を防ぐメカニズムも欠けています。これらのセキュリティ対策は、ソフトウェア開発における基本的な常識であるべきです。これほど基本的な脆弱性が、これほど知名度の高いプロジェクトに存在するとは信じがたいことです。

!

この出来事は、ブロックチェーンプロジェクトの開発、特にデジタル資産に関わる契約設計において、安全のベストプラクティスを厳守することの重要性を再度浮き彫りにしました。これは、大規模な組織でさえ基本的なセキュリティ対策を怠る可能性があることを私たちに思い起こさせるため、すべてのスマートコントラクトに対して包括的なセキュリティ監査と継続的な脆弱性検出が非常に重要です。

デジタルコレクション市場が急速に発展している今日、同様のセキュリティ問題がユーザーの利益やエコシステム全体の健全な発展に深刻な脅威をもたらす可能性があります。したがって、プロジェクトチームは契約の安全性をより重視し、チームのセキュリティ意識のトレーニングを強化し、開発プロセスにおいてより厳格なコードレビューのメカニズムを導入するべきです。また、ユーザーもあらゆるデジタルコレクションプロジェクトに参加する際には警戒を怠らず、プロジェクトのセキュリティ状況や監査報告に注意を払うべきです。

!