Son günlerde, tanınmış bir spor liginin çıkardığı dijital koleksiyonlar, güvenlik uzmanlarının dikkatini çekti. Uzmanlar, satış sözleşmesini inceledikten sonra ciddi bir güvenlik açığı keşfettiler. Bu açık, teknoloji konusunda bilgili kişilerin herhangi bir ücret ödemeden koleksiyon yaratmalarına ve bundan kazanç sağlamalarına olanak tanıyor.
Sorunun kaynağı, sözleşmenin beyaz liste kullanıcılarının imza doğrulama mekanizmasında bir açık bulunmasıdır. Daha spesifik olarak, sözleşme beyaz liste imzalarının özgüllüğünü ve bir kerelik kullanımını sağlamayı başaramamıştır. Bu, potansiyel saldırganların diğer beyaz liste kullanıcılarının imzalarını tekrar kullanarak koleksiyon parçaları oluşturabileceği anlamına gelir.
Teknik açıdan bakıldığında, verify fonksiyonunun tasarımında belirgin eksiklikler bulunmaktadır; gönderenin adresi imza doğrulama sürecine dahil edilmemiştir. Daha da önemlisi, sözleşmede her imzanın yalnızca bir kez kullanılmasını garanti eden bir mekanizma da bulunmamaktadır. Bunlar, temelde yazılım güvenliği önlemleri olmalıydı, ancak bu dikkat çekici projede göz ardı edilmiştir.
Güvenlik uzmanları buna şaşırdı ve bu tür temel güvenlik uygulamalarının herhangi bir blockchain projesinin geliştirilme sürecinde vazgeçilmez bir parça olması gerektiğini düşünüyorlar. Hatta tanınmış projelerin bile en temel güvenlik denetim adımlarını göz ardı edemeyeceklerini vurguladılar.
Bu olay, blockchain ve dijital varlıklar alanında güvenliğin öneminin göz ardı edilemeyeceğini bir kez daha vurguladı. Bu tür projelere katılan geliştiriciler ve yatırımcılar için güvenlik bilincini artırmak ve kapsamlı güvenlik denetimleri yapmak, gelecekteki projelerin başarılı olmasının anahtar faktörlerinden biri olacaktır.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 Likes
Reward
8
7
Share
Comment
0/400
BridgeJumper
· 20h ago
Sadece geçiştirilerek mi yayınlandı?
View OriginalReply0
SatoshiLegend
· 20h ago
Kaynak kodu açısından tarih her zaman tekerrür eder.
View OriginalReply0
DaoGovernanceOfficer
· 20h ago
*sigh* bir başka protokolün temel güvenlik önlemlerini atlaması... açıkçası tahmin edilebilir
View OriginalReply0
MissingSats
· 20h ago
Yine bir izin listesi tekrar saldırısı, güvenlik hala çok zayıf.
View OriginalReply0
ClassicDumpster
· 21h ago
Bu hata gerçekten güzel Aya doğru
View OriginalReply0
DaoDeveloper
· 21h ago
smh... temel reentrancy kontrolü bunu yakalayabilirdi
View OriginalReply0
ApeWithAPlan
· 21h ago
Bu kadar büyük bir açıkla sözleşme nasıl geçer? Bu uyumluluk denetimi nasıl geçti?
Ünlü spor ligi dijital koleksiyon sözleşmesinde ciddi bir açık var, Hacker ücretsiz mintleme ile kâr elde edebilir.
Son günlerde, tanınmış bir spor liginin çıkardığı dijital koleksiyonlar, güvenlik uzmanlarının dikkatini çekti. Uzmanlar, satış sözleşmesini inceledikten sonra ciddi bir güvenlik açığı keşfettiler. Bu açık, teknoloji konusunda bilgili kişilerin herhangi bir ücret ödemeden koleksiyon yaratmalarına ve bundan kazanç sağlamalarına olanak tanıyor.
Sorunun kaynağı, sözleşmenin beyaz liste kullanıcılarının imza doğrulama mekanizmasında bir açık bulunmasıdır. Daha spesifik olarak, sözleşme beyaz liste imzalarının özgüllüğünü ve bir kerelik kullanımını sağlamayı başaramamıştır. Bu, potansiyel saldırganların diğer beyaz liste kullanıcılarının imzalarını tekrar kullanarak koleksiyon parçaları oluşturabileceği anlamına gelir.
Teknik açıdan bakıldığında, verify fonksiyonunun tasarımında belirgin eksiklikler bulunmaktadır; gönderenin adresi imza doğrulama sürecine dahil edilmemiştir. Daha da önemlisi, sözleşmede her imzanın yalnızca bir kez kullanılmasını garanti eden bir mekanizma da bulunmamaktadır. Bunlar, temelde yazılım güvenliği önlemleri olmalıydı, ancak bu dikkat çekici projede göz ardı edilmiştir.
Güvenlik uzmanları buna şaşırdı ve bu tür temel güvenlik uygulamalarının herhangi bir blockchain projesinin geliştirilme sürecinde vazgeçilmez bir parça olması gerektiğini düşünüyorlar. Hatta tanınmış projelerin bile en temel güvenlik denetim adımlarını göz ardı edemeyeceklerini vurguladılar.
Bu olay, blockchain ve dijital varlıklar alanında güvenliğin öneminin göz ardı edilemeyeceğini bir kez daha vurguladı. Bu tür projelere katılan geliştiriciler ve yatırımcılar için güvenlik bilincini artırmak ve kapsamlı güvenlik denetimleri yapmak, gelecekteki projelerin başarılı olmasının anahtar faktörlerinden biri olacaktır.