مؤخراً، أطلق اتحاد رياضي معروف مجموعة من المقتنيات الرقمية، مما أثار اهتماماً واسعاً في السوق. ومع ذلك، تم اكتشاف وجود ثغرة أمنية خطيرة في هذا المشروع الذي يحظى باهتمام كبير. هذه الثغرة سمحت لبعض الخبراء الفنيين بإنشاء هذه المقتنيات الرقمية دون تكلفة، والاستفادة منها.
!
تعود جذور هذه الثغرة الأمنية إلى وجود عيب في آلية التحقق من المستخدمين المحددين. بشكل محدد، لم يتمكن النظام من ضمان أن توقيعات التحقق يمكن استخدامها فقط من قبل المستخدمين المحددين، وأنه يمكن استخدام كل توقيع مرة واحدة فقط. وقد أدى ذلك إلى حالة خطيرة: يمكن للخبراء الفنيين إعادة استخدام توقيعات المستخدمين الشرعيين الآخرين لإنشاء مقتنيات رقمية.
من الناحية الفنية، تكمن المشكلة في تصميم وظيفة التحقق. حيث أن هذه الوظيفة عند إجراء التحقق من التوقيع، لم تأخذ في الاعتبار عنوان الجهة التي بدأت المعاملة ضمن محتوى التوقيع. والأكثر أهمية، أن النظام لم يقم بإعداد آلية لضمان أن كل توقيع يمكن استخدامه مرة واحدة فقط. وهذه كانت يجب أن تكون من أبسط تدابير الأمان في تطوير البرمجيات، ولكن تم تجاهلها في هذا المشروع.
بالنسبة لمشروع ذو شهرة عالية مثل هذا، فإن ظهور ثغرات أمنية أساسية يعتبر حقًا غير متوقع. هذا لا يكشف فقط عن إهمال الجهة المسؤولة عن المشروع في إدارة الأمن، بل يبرز أيضًا أنه حتى المؤسسات الكبيرة قد تواجه أخطاء في الممارسات الأمنية الأساسية في مجال blockchain والأصول الرقمية.
!
تُذكّرنا هذه الحادثة مرة أخرى بأن التدقيق الأمني الشامل وعمليات الاختبار الصارمة هي أمور لا غنى عنها عند تطوير ونشر العقود الذكية. في الوقت نفسه، تبرز أهمية التعلم المستمر وتحديث المعرفة الأمنية في مجال تكنولوجيا blockchain سريع التطور.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 15
أعجبني
15
8
إعادة النشر
مشاركة
تعليق
0/400
FarmHopper
· منذ 23 س
ليس بالأمر الجديد
شاهد النسخة الأصليةرد0
ThatsNotARugPull
· 08-14 22:14
فريق اختبار خلع القدمين للأطعمة
شاهد النسخة الأصليةرد0
degenonymous
· 08-14 03:42
آه، تم اكتشاف ثغرة جديدة مرة أخرى
شاهد النسخة الأصليةرد0
AirdropBuffet
· 08-12 02:32
إذا لم يتم كتابة العقد الفني بشكل صحيح، فهذا يعني أنك ترسل المال مجانًا.
شاهد النسخة الأصليةرد0
DataBartender
· 08-12 02:30
هل لن تأخذ رسوم حماية؟
شاهد النسخة الأصليةرد0
GweiWatcher
· 08-12 02:24
هل لا يمكنك حتى إصلاح هذا الخطأ الأساسي؟ .jpg
شاهد النسخة الأصليةرد0
PriceOracleFairy
· 08-12 02:18
هههه، استغلال توقيع إعادة التشغيل الكلاسيكي مرة أخرى... المبتدئون لا يتعلمون أليس كذلك؟
مشروع المقتنيات الرقمية لرابطة الرياضة يعاني من ثغرة أمنية كبيرة عيوب تقنية قد تؤدي إلى السك المجاني
مؤخراً، أطلق اتحاد رياضي معروف مجموعة من المقتنيات الرقمية، مما أثار اهتماماً واسعاً في السوق. ومع ذلك، تم اكتشاف وجود ثغرة أمنية خطيرة في هذا المشروع الذي يحظى باهتمام كبير. هذه الثغرة سمحت لبعض الخبراء الفنيين بإنشاء هذه المقتنيات الرقمية دون تكلفة، والاستفادة منها.
!
تعود جذور هذه الثغرة الأمنية إلى وجود عيب في آلية التحقق من المستخدمين المحددين. بشكل محدد، لم يتمكن النظام من ضمان أن توقيعات التحقق يمكن استخدامها فقط من قبل المستخدمين المحددين، وأنه يمكن استخدام كل توقيع مرة واحدة فقط. وقد أدى ذلك إلى حالة خطيرة: يمكن للخبراء الفنيين إعادة استخدام توقيعات المستخدمين الشرعيين الآخرين لإنشاء مقتنيات رقمية.
من الناحية الفنية، تكمن المشكلة في تصميم وظيفة التحقق. حيث أن هذه الوظيفة عند إجراء التحقق من التوقيع، لم تأخذ في الاعتبار عنوان الجهة التي بدأت المعاملة ضمن محتوى التوقيع. والأكثر أهمية، أن النظام لم يقم بإعداد آلية لضمان أن كل توقيع يمكن استخدامه مرة واحدة فقط. وهذه كانت يجب أن تكون من أبسط تدابير الأمان في تطوير البرمجيات، ولكن تم تجاهلها في هذا المشروع.
بالنسبة لمشروع ذو شهرة عالية مثل هذا، فإن ظهور ثغرات أمنية أساسية يعتبر حقًا غير متوقع. هذا لا يكشف فقط عن إهمال الجهة المسؤولة عن المشروع في إدارة الأمن، بل يبرز أيضًا أنه حتى المؤسسات الكبيرة قد تواجه أخطاء في الممارسات الأمنية الأساسية في مجال blockchain والأصول الرقمية.
!
تُذكّرنا هذه الحادثة مرة أخرى بأن التدقيق الأمني الشامل وعمليات الاختبار الصارمة هي أمور لا غنى عنها عند تطوير ونشر العقود الذكية. في الوقت نفسه، تبرز أهمية التعلم المستمر وتحديث المعرفة الأمنية في مجال تكنولوجيا blockchain سريع التطور.