مؤخراً، أثارت مجموعة من المقتنيات الرقمية التي أطلقتها رابطة رياضية معروفة اهتمام خبراء الأمان. بعد مراجعة عقد البيع الخاص بها، اكتشف المحترفون ثغرة أمان خطيرة. تتيح هذه الثغرة للأفراد المتمرسين في التكنولوجيا إنشاء مقتنيات دون الحاجة لدفع أي رسوم، وجني الأرباح منها.
!
تكمن جذور المشكلة في وجود عيب في آلية التحقق من توقيع المستخدمين في القائمة البيضاء في العقد. بعبارة أخرى، فشل العقد في ضمان خصوصية وتوافق توقيع القائمة البيضاء للاستخدام لمرة واحدة. وهذا يعني أن المهاجمين المحتملين يمكنهم إعادة استخدام توقيعات مستخدمين آخرين في القائمة البيضاء لصك المقتنيات.
من الناحية التقنية، فإن تصميم دالة verify يعاني من عيوب واضحة، حيث لم يتم تضمين عنوان المرسل في عملية التحقق من التوقيع. والأهم من ذلك، أنه لم يتم وضع آلية في العقد لضمان أن كل توقيع يمكن استخدامه مرة واحدة فقط. هذه كانت ينبغي أن تكون تدابير أساسية للأمان البرمجي، لكنها تم تجاهلها في هذا المشروع الذي يحظى باهتمام كبير.
!
أعرب خبراء الأمن عن دهشتهم، معتبرين أن هذه الممارسات الأمنية الأساسية يجب أن تكون جزءًا لا يتجزأ من أي عملية تطوير لمشاريع البلوكشين. وأكدوا أنه حتى المشاريع ذات الشهرة العالية لا يمكنها تجاهل خطوات التدقيق الأمني الأساسية.
هذا الحدث يبرز مرة أخرى أهمية الأمان في مجال blockchain والأصول الرقمية، والتي لا يمكن تجاهلها. بالنسبة للمطورين والمستثمرين المشاركين في مثل هذه المشاريع، فإن تعزيز الوعي بالأمان وإجراء مراجعات أمنية شاملة سيكون أحد العوامل الأساسية لنجاح المشاريع في المستقبل.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 8
أعجبني
8
7
مشاركة
تعليق
0/400
BridgeJumper
· منذ 20 س
هل تم إطلاقها بشكل عشوائي؟
شاهد النسخة الأصليةرد0
SatoshiLegend
· منذ 20 س
من منظور الشيفرة المصدرية، التاريخ دائمًا ما يعيد نفسه
شاهد النسخة الأصليةرد0
DaoGovernanceOfficer
· منذ 20 س
*sigh* بروتوكول آخر يتجاوز التدابير الأمنية الأساسية... متوقع بصراحة
شاهد النسخة الأصليةرد0
MissingSats
· منذ 20 س
مرة أخرى قائمة السماح إعادة الهجوم الأمان لا يزال ضعيفًا جدًا
شاهد النسخة الأصليةرد0
ClassicDumpster
· منذ 21 س
هذا الخطأ جميل للقمر
شاهد النسخة الأصليةرد0
DaoDeveloper
· منذ 21 س
smh... فحص إعادة الدخول الأساسي كان سيلتقط هذا
شاهد النسخة الأصليةرد0
ApeWithAPlan
· منذ 21 س
كيف اجتازت هذه المراجعة التزام مع وجود ثغرة كبيرة في العقد؟
عقد مقتنيات رقمية لرابطة رياضية مشهورة يحتوي على ثغرات خطيرة هاكر يمكنه السك مجاناً لتحقيق الربح
مؤخراً، أثارت مجموعة من المقتنيات الرقمية التي أطلقتها رابطة رياضية معروفة اهتمام خبراء الأمان. بعد مراجعة عقد البيع الخاص بها، اكتشف المحترفون ثغرة أمان خطيرة. تتيح هذه الثغرة للأفراد المتمرسين في التكنولوجيا إنشاء مقتنيات دون الحاجة لدفع أي رسوم، وجني الأرباح منها.
!
تكمن جذور المشكلة في وجود عيب في آلية التحقق من توقيع المستخدمين في القائمة البيضاء في العقد. بعبارة أخرى، فشل العقد في ضمان خصوصية وتوافق توقيع القائمة البيضاء للاستخدام لمرة واحدة. وهذا يعني أن المهاجمين المحتملين يمكنهم إعادة استخدام توقيعات مستخدمين آخرين في القائمة البيضاء لصك المقتنيات.
من الناحية التقنية، فإن تصميم دالة verify يعاني من عيوب واضحة، حيث لم يتم تضمين عنوان المرسل في عملية التحقق من التوقيع. والأهم من ذلك، أنه لم يتم وضع آلية في العقد لضمان أن كل توقيع يمكن استخدامه مرة واحدة فقط. هذه كانت ينبغي أن تكون تدابير أساسية للأمان البرمجي، لكنها تم تجاهلها في هذا المشروع الذي يحظى باهتمام كبير.
!
أعرب خبراء الأمن عن دهشتهم، معتبرين أن هذه الممارسات الأمنية الأساسية يجب أن تكون جزءًا لا يتجزأ من أي عملية تطوير لمشاريع البلوكشين. وأكدوا أنه حتى المشاريع ذات الشهرة العالية لا يمكنها تجاهل خطوات التدقيق الأمني الأساسية.
هذا الحدث يبرز مرة أخرى أهمية الأمان في مجال blockchain والأصول الرقمية، والتي لا يمكن تجاهلها. بالنسبة للمطورين والمستثمرين المشاركين في مثل هذه المشاريع، فإن تعزيز الوعي بالأمان وإجراء مراجعات أمنية شاملة سيكون أحد العوامل الأساسية لنجاح المشاريع في المستقبل.