Recentemente, uma coleção digital lançada por uma famosa liga esportiva chamou a atenção de especialistas em segurança. Profissionais que revisaram seu contrato de venda descobriram uma grave vulnerabilidade de segurança. Essa vulnerabilidade permite que indivíduos com habilidades técnicas criem colecionáveis sem ter que pagar nenhuma taxa e lucrar com isso.
A raiz do problema reside na falha do mecanismo de verificação de assinatura dos usuários da lista branca no contrato. Especificamente, o contrato não conseguiu garantir a exclusividade e o uso único das assinaturas da lista branca. Isso significa que potenciais atacantes podem reutilizar as assinaturas de outros usuários da lista branca para cunhar colecionáveis.
Do ponto de vista técnico, o design da função verify apresenta falhas evidentes, pois não inclui o endereço do remetente no processo de verificação da assinatura. Mais preocupante é que o contrato também não estabelece um mecanismo para garantir que cada assinatura possa ser usada apenas uma vez. Essas deveriam ser medidas básicas de segurança de software, mas foram ignoradas neste projeto tão notório.
Especialistas em segurança ficaram surpresos com isso, afirmando que essas práticas básicas de segurança deveriam ser uma parte indispensável do processo de desenvolvimento de qualquer projeto de blockchain. Eles enfatizaram que, mesmo projetos de alta visibilidade não podem ignorar os passos mais básicos de auditoria de segurança.
Este evento destaca novamente a importância da segurança no campo da blockchain e dos ativos digitais, que não pode ser ignorada. Para os desenvolvedores e investidores envolvidos em tais projetos, aumentar a consciência de segurança e realizar auditorias de segurança abrangentes será um dos fatores-chave para o sucesso dos projetos futuros.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
7 Curtidas
Recompensa
7
7
Compartilhar
Comentário
0/400
BridgeJumper
· 17h atrás
Foi tudo a correr para ser lançado?
Ver originalResponder0
SatoshiLegend
· 17h atrás
Do ponto de vista do código-fonte, a história sempre se repete.
Ver originalResponder0
DaoGovernanceOfficer
· 17h atrás
*suspiro* mais um protocolo a ignorar medidas básicas de segurança... previsível, para ser honesto
Ver originalResponder0
MissingSats
· 17h atrás
Mais uma vez, ataque de repetição na lista de permissões. A segurança ainda é muito fraca.
Ver originalResponder0
ClassicDumpster
· 17h atrás
Este bug é realmente bom Até à lua
Ver originalResponder0
DaoDeveloper
· 17h atrás
smh... uma verificação básica de reentrância teria capturado isso
Ver originalResponder0
ApeWithAPlan
· 17h atrás
O contrato tem uma falha tão grande, como é que a conformidade passou na auditoria?
Conhecida liga desportiva tem contrato de colecionáveis digitais com sério vazamento; Hacker pode cunhar gratuitamente para lucrar.
Recentemente, uma coleção digital lançada por uma famosa liga esportiva chamou a atenção de especialistas em segurança. Profissionais que revisaram seu contrato de venda descobriram uma grave vulnerabilidade de segurança. Essa vulnerabilidade permite que indivíduos com habilidades técnicas criem colecionáveis sem ter que pagar nenhuma taxa e lucrar com isso.
A raiz do problema reside na falha do mecanismo de verificação de assinatura dos usuários da lista branca no contrato. Especificamente, o contrato não conseguiu garantir a exclusividade e o uso único das assinaturas da lista branca. Isso significa que potenciais atacantes podem reutilizar as assinaturas de outros usuários da lista branca para cunhar colecionáveis.
Do ponto de vista técnico, o design da função verify apresenta falhas evidentes, pois não inclui o endereço do remetente no processo de verificação da assinatura. Mais preocupante é que o contrato também não estabelece um mecanismo para garantir que cada assinatura possa ser usada apenas uma vez. Essas deveriam ser medidas básicas de segurança de software, mas foram ignoradas neste projeto tão notório.
Especialistas em segurança ficaram surpresos com isso, afirmando que essas práticas básicas de segurança deveriam ser uma parte indispensável do processo de desenvolvimento de qualquer projeto de blockchain. Eles enfatizaram que, mesmo projetos de alta visibilidade não podem ignorar os passos mais básicos de auditoria de segurança.
Este evento destaca novamente a importância da segurança no campo da blockchain e dos ativos digitais, que não pode ser ignorada. Para os desenvolvedores e investidores envolvidos em tais projetos, aumentar a consciência de segurança e realizar auditorias de segurança abrangentes será um dos fatores-chave para o sucesso dos projetos futuros.