El contrato de coleccionables digitales de una conocida liga deportiva presenta graves vulnerabilidades, permitiendo a los Hackers acuñar y lucrar de forma gratuita.
Recientemente, un coleccionable digital lanzado por una conocida liga deportiva ha llamado la atención de los expertos en seguridad. Después de revisar su contrato de venta, los profesionales descubrieron una grave vulnerabilidad de seguridad. Esta vulnerabilidad permite a individuos con conocimientos técnicos crear coleccionables sin tener que pagar ninguna tarifa y obtener beneficios de ello.
La raíz del problema radica en un defecto en el mecanismo de verificación de firmas para los usuarios de la lista blanca en el contrato. En concreto, el contrato no ha logrado garantizar la exclusividad y el uso único de las firmas de la lista blanca. Esto significa que un posible atacante puede reutilizar la firma de otros usuarios de la lista blanca para acuñar coleccionables.
Desde un punto de vista técnico, el diseño de la función verify presenta defectos evidentes, ya que no incluye la dirección del remitente en el proceso de verificación de la firma. Más notable aún es que el contrato tampoco establece un mecanismo para garantizar que cada firma solo se utilice una vez. Estas deberían ser medidas básicas de seguridad del software, pero han sido ignoradas en este proyecto tan destacado.
Los expertos en seguridad expresaron su sorpresa, afirmando que estas prácticas de seguridad básicas deberían ser una parte indispensable del proceso de desarrollo de cualquier proyecto de blockchain. Enfatizaron que incluso los proyectos más conocidos no pueden ignorar los pasos más básicos de auditoría de seguridad.
Este evento destaca una vez más la importancia de la seguridad en el ámbito de la blockchain y los activos digitales, la cual no debe ser subestimada. Para los desarrolladores e inversores que participan en tales proyectos, fortalecer la conciencia de seguridad y llevar a cabo auditorías de seguridad exhaustivas será uno de los factores clave para el éxito de los proyectos en el futuro.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
8 me gusta
Recompensa
8
7
Compartir
Comentar
0/400
BridgeJumper
· hace20h
¿Se lanzó sin más?
Ver originalesResponder0
SatoshiLegend
· hace20h
Desde la perspectiva del código fuente, la historia siempre tiende a repetirse.
Ver originalesResponder0
DaoGovernanceOfficer
· hace20h
*suspiro* otro protocolo que omite medidas de seguridad básicas... predecible, la verdad
Ver originalesResponder0
MissingSats
· hace20h
Otra vez un ataque de repetición en la lista de permitidos. La seguridad sigue siendo muy deficiente.
Ver originalesResponder0
ClassicDumpster
· hace20h
Este bug huele realmente bien To the moon
Ver originalesResponder0
DaoDeveloper
· hace21h
smh... una verificación básica de reentrada habría detectado esto
Ver originalesResponder0
ApeWithAPlan
· hace21h
¿Cómo pasó esta auditoría de cumplimiento con un agujero tan grande en el contrato?
El contrato de coleccionables digitales de una conocida liga deportiva presenta graves vulnerabilidades, permitiendo a los Hackers acuñar y lucrar de forma gratuita.
Recientemente, un coleccionable digital lanzado por una conocida liga deportiva ha llamado la atención de los expertos en seguridad. Después de revisar su contrato de venta, los profesionales descubrieron una grave vulnerabilidad de seguridad. Esta vulnerabilidad permite a individuos con conocimientos técnicos crear coleccionables sin tener que pagar ninguna tarifa y obtener beneficios de ello.
La raíz del problema radica en un defecto en el mecanismo de verificación de firmas para los usuarios de la lista blanca en el contrato. En concreto, el contrato no ha logrado garantizar la exclusividad y el uso único de las firmas de la lista blanca. Esto significa que un posible atacante puede reutilizar la firma de otros usuarios de la lista blanca para acuñar coleccionables.
Desde un punto de vista técnico, el diseño de la función verify presenta defectos evidentes, ya que no incluye la dirección del remitente en el proceso de verificación de la firma. Más notable aún es que el contrato tampoco establece un mecanismo para garantizar que cada firma solo se utilice una vez. Estas deberían ser medidas básicas de seguridad del software, pero han sido ignoradas en este proyecto tan destacado.
Los expertos en seguridad expresaron su sorpresa, afirmando que estas prácticas de seguridad básicas deberían ser una parte indispensable del proceso de desarrollo de cualquier proyecto de blockchain. Enfatizaron que incluso los proyectos más conocidos no pueden ignorar los pasos más básicos de auditoría de seguridad.
Este evento destaca una vez más la importancia de la seguridad en el ámbito de la blockchain y los activos digitales, la cual no debe ser subestimada. Para los desarrolladores e inversores que participan en tales proyectos, fortalecer la conciencia de seguridad y llevar a cabo auditorías de seguridad exhaustivas será uno de los factores clave para el éxito de los proyectos en el futuro.