Son günlerde, tanınmış bir spor liginin çıkardığı dijital koleksiyonlar, güvenlik uzmanlarının dikkatini çekti. Uzmanlar, satış sözleşmesini inceledikten sonra ciddi bir güvenlik açığı keşfettiler. Bu açık, teknoloji konusunda bilgili kişilerin herhangi bir ücret ödemeden koleksiyon yaratmalarına ve bundan kazanç sağlamalarına olanak tanıyor.
Sorunun kaynağı, sözleşmenin beyaz liste kullanıcılarının imza doğrulama mekanizmasında bir açık bulunmasıdır. Daha spesifik olarak, sözleşme beyaz liste imzalarının özgüllüğünü ve bir kerelik kullanımını sağlamayı başaramamıştır. Bu, potansiyel saldırganların diğer beyaz liste kullanıcılarının imzalarını tekrar kullanarak koleksiyon parçaları oluşturabileceği anlamına gelir.
Teknik açıdan bakıldığında, verify fonksiyonunun tasarımında belirgin eksiklikler bulunmaktadır; gönderenin adresi imza doğrulama sürecine dahil edilmemiştir. Daha da önemlisi, sözleşmede her imzanın yalnızca bir kez kullanılmasını garanti eden bir mekanizma da bulunmamaktadır. Bunlar, temelde yazılım güvenliği önlemleri olmalıydı, ancak bu dikkat çekici projede göz ardı edilmiştir.
Güvenlik uzmanları buna şaşırdı ve bu tür temel güvenlik uygulamalarının herhangi bir blockchain projesinin geliştirilme sürecinde vazgeçilmez bir parça olması gerektiğini düşünüyorlar. Hatta tanınmış projelerin bile en temel güvenlik denetim adımlarını göz ardı edemeyeceklerini vurguladılar.
Bu olay, blockchain ve dijital varlıklar alanında güvenliğin öneminin göz ardı edilemeyeceğini bir kez daha vurguladı. Bu tür projelere katılan geliştiriciler ve yatırımcılar için güvenlik bilincini artırmak ve kapsamlı güvenlik denetimleri yapmak, gelecekteki projelerin başarılı olmasının anahtar faktörlerinden biri olacaktır.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
11 Likes
Reward
11
10
Share
Comment
0/400
WealthCoffee
· 07-23 22:42
Yine sadece formalite icabı bir güvenlik denetimi mi?
View OriginalReply0
HashRatePhilosopher
· 07-23 07:46
Yine sözleşme açıklarından Klip Kuponlar!
View OriginalReply0
AllInAlice
· 07-22 10:46
Sözleşmeleri tam olarak anlamadım...
View OriginalReply0
BridgeJumper
· 07-20 23:10
Sadece geçiştirilerek mi yayınlandı?
View OriginalReply0
SatoshiLegend
· 07-20 23:09
Kaynak kodu açısından tarih her zaman tekerrür eder.
View OriginalReply0
DaoGovernanceOfficer
· 07-20 23:05
*sigh* bir başka protokolün temel güvenlik önlemlerini atlaması... açıkçası tahmin edilebilir
View OriginalReply0
MissingSats
· 07-20 23:05
Yine bir izin listesi tekrar saldırısı, güvenlik hala çok zayıf.
View OriginalReply0
ClassicDumpster
· 07-20 22:55
Bu hata gerçekten güzel Aya doğru
View OriginalReply0
DaoDeveloper
· 07-20 22:51
smh... temel reentrancy kontrolü bunu yakalayabilirdi
View OriginalReply0
ApeWithAPlan
· 07-20 22:48
Bu kadar büyük bir açıkla sözleşme nasıl geçer? Bu uyumluluk denetimi nasıl geçti?
Ünlü spor ligi dijital koleksiyon sözleşmesinde ciddi bir açık var, Hacker ücretsiz mintleme ile kâr elde edebilir.
Son günlerde, tanınmış bir spor liginin çıkardığı dijital koleksiyonlar, güvenlik uzmanlarının dikkatini çekti. Uzmanlar, satış sözleşmesini inceledikten sonra ciddi bir güvenlik açığı keşfettiler. Bu açık, teknoloji konusunda bilgili kişilerin herhangi bir ücret ödemeden koleksiyon yaratmalarına ve bundan kazanç sağlamalarına olanak tanıyor.
Sorunun kaynağı, sözleşmenin beyaz liste kullanıcılarının imza doğrulama mekanizmasında bir açık bulunmasıdır. Daha spesifik olarak, sözleşme beyaz liste imzalarının özgüllüğünü ve bir kerelik kullanımını sağlamayı başaramamıştır. Bu, potansiyel saldırganların diğer beyaz liste kullanıcılarının imzalarını tekrar kullanarak koleksiyon parçaları oluşturabileceği anlamına gelir.
Teknik açıdan bakıldığında, verify fonksiyonunun tasarımında belirgin eksiklikler bulunmaktadır; gönderenin adresi imza doğrulama sürecine dahil edilmemiştir. Daha da önemlisi, sözleşmede her imzanın yalnızca bir kez kullanılmasını garanti eden bir mekanizma da bulunmamaktadır. Bunlar, temelde yazılım güvenliği önlemleri olmalıydı, ancak bu dikkat çekici projede göz ardı edilmiştir.
Güvenlik uzmanları buna şaşırdı ve bu tür temel güvenlik uygulamalarının herhangi bir blockchain projesinin geliştirilme sürecinde vazgeçilmez bir parça olması gerektiğini düşünüyorlar. Hatta tanınmış projelerin bile en temel güvenlik denetim adımlarını göz ardı edemeyeceklerini vurguladılar.
Bu olay, blockchain ve dijital varlıklar alanında güvenliğin öneminin göz ardı edilemeyeceğini bir kez daha vurguladı. Bu tür projelere katılan geliştiriciler ve yatırımcılar için güvenlik bilincini artırmak ve kapsamlı güvenlik denetimleri yapmak, gelecekteki projelerin başarılı olmasının anahtar faktörlerinden biri olacaktır.