Recentemente, uma coleção digital lançada por uma famosa liga esportiva chamou a atenção de especialistas em segurança. Profissionais que revisaram seu contrato de venda descobriram uma grave vulnerabilidade de segurança. Essa vulnerabilidade permite que indivíduos com habilidades técnicas criem colecionáveis sem ter que pagar nenhuma taxa e lucrar com isso.
A raiz do problema reside na falha do mecanismo de verificação de assinatura dos usuários da lista branca no contrato. Especificamente, o contrato não conseguiu garantir a exclusividade e o uso único das assinaturas da lista branca. Isso significa que potenciais atacantes podem reutilizar as assinaturas de outros usuários da lista branca para cunhar colecionáveis.
Do ponto de vista técnico, o design da função verify apresenta falhas evidentes, pois não inclui o endereço do remetente no processo de verificação da assinatura. Mais preocupante é que o contrato também não estabelece um mecanismo para garantir que cada assinatura possa ser usada apenas uma vez. Essas deveriam ser medidas básicas de segurança de software, mas foram ignoradas neste projeto tão notório.
Especialistas em segurança ficaram surpresos com isso, afirmando que essas práticas básicas de segurança deveriam ser uma parte indispensável do processo de desenvolvimento de qualquer projeto de blockchain. Eles enfatizaram que, mesmo projetos de alta visibilidade não podem ignorar os passos mais básicos de auditoria de segurança.
Este evento destaca novamente a importância da segurança no campo da blockchain e dos ativos digitais, que não pode ser ignorada. Para os desenvolvedores e investidores envolvidos em tais projetos, aumentar a consciência de segurança e realizar auditorias de segurança abrangentes será um dos fatores-chave para o sucesso dos projetos futuros.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
8 gostos
Recompensa
8
7
Partilhar
Comentar
0/400
BridgeJumper
· 20h atrás
Foi tudo a correr para ser lançado?
Ver originalResponder0
SatoshiLegend
· 20h atrás
Do ponto de vista do código-fonte, a história sempre se repete.
Ver originalResponder0
DaoGovernanceOfficer
· 20h atrás
*suspiro* mais um protocolo a ignorar medidas básicas de segurança... previsível, para ser honesto
Ver originalResponder0
MissingSats
· 20h atrás
Mais uma vez, ataque de repetição na lista de permissões. A segurança ainda é muito fraca.
Ver originalResponder0
ClassicDumpster
· 21h atrás
Este bug é realmente bom Até à lua
Ver originalResponder0
DaoDeveloper
· 21h atrás
smh... uma verificação básica de reentrância teria capturado isso
Ver originalResponder0
ApeWithAPlan
· 21h atrás
O contrato tem uma falha tão grande, como é que a conformidade passou na auditoria?
Conhecida liga desportiva tem contrato de colecionáveis digitais com sério vazamento; Hacker pode cunhar gratuitamente para lucrar.
Recentemente, uma coleção digital lançada por uma famosa liga esportiva chamou a atenção de especialistas em segurança. Profissionais que revisaram seu contrato de venda descobriram uma grave vulnerabilidade de segurança. Essa vulnerabilidade permite que indivíduos com habilidades técnicas criem colecionáveis sem ter que pagar nenhuma taxa e lucrar com isso.
A raiz do problema reside na falha do mecanismo de verificação de assinatura dos usuários da lista branca no contrato. Especificamente, o contrato não conseguiu garantir a exclusividade e o uso único das assinaturas da lista branca. Isso significa que potenciais atacantes podem reutilizar as assinaturas de outros usuários da lista branca para cunhar colecionáveis.
Do ponto de vista técnico, o design da função verify apresenta falhas evidentes, pois não inclui o endereço do remetente no processo de verificação da assinatura. Mais preocupante é que o contrato também não estabelece um mecanismo para garantir que cada assinatura possa ser usada apenas uma vez. Essas deveriam ser medidas básicas de segurança de software, mas foram ignoradas neste projeto tão notório.
Especialistas em segurança ficaram surpresos com isso, afirmando que essas práticas básicas de segurança deveriam ser uma parte indispensável do processo de desenvolvimento de qualquer projeto de blockchain. Eles enfatizaram que, mesmo projetos de alta visibilidade não podem ignorar os passos mais básicos de auditoria de segurança.
Este evento destaca novamente a importância da segurança no campo da blockchain e dos ativos digitais, que não pode ser ignorada. Para os desenvolvedores e investidores envolvidos em tais projetos, aumentar a consciência de segurança e realizar auditorias de segurança abrangentes será um dos fatores-chave para o sucesso dos projetos futuros.