Відомі спортивні ліги цифрові колекційні контракти мають серйозні вразливості, Хакер може безкоштовно мінтити для отримання прибутку

robot
Генерація анотацій у процесі

Нещодавно цифровий колекційний предмет, запущений відомим спортивним лігами, привернув увагу експертів з безпеки. Професіонали, перевіряючи його контракт на продаж, виявили серйозну уразливість. Ця уразливість дозволяє технічно підкованим особам створювати колекційні предмети без будь-яких витрат і отримувати з цього прибуток.

!

Проблема полягає в тому, що в механізмі перевірки підписів користувачів білого списку в контракті є недоліки. Конкретно, контракт не зміг забезпечити ексклюзивність та одноразове використання підписів білого списку. Це означає, що потенційні зловмисники можуть повторно використовувати підписи інших користувачів білого списку для карбування колекцій.

З технічної точки зору, дизайн функції verify має очевидні недоліки, оскільки адреса відправника не включена в процес перевірки підпису. Ще більш важливо, що в контракті не встановлено механізму, який би гарантовано забезпечував, що кожен підпис може використовуватися лише один раз. Ці мали б бути базовими заходами безпеки програмного забезпечення, але вони були проігноровані в цьому широко обговорюваному проекті.

!

Експерти з безпеки були вражені цим і вважають, що такі основні практики безпеки повинні бути невід'ємною частиною будь-якого процесу розробки проектів на блокчейні. Вони підкреслюють, що навіть добре відомі проекти не можуть ігнорувати найосновніші етапи аудиту безпеки.

Ця подія знову підкреслила важливість безпеки в сфері блокчейну та цифрових активів, яку не можна ігнорувати. Для розробників та інвесторів, які беруть участь у таких проектах, посилення обізнаності про безпеку та проведення комплексних аудитів безпеки стане одним із ключових факторів успіху майбутніх проектів.

Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • 7
  • Поділіться
Прокоментувати
0/400
BridgeJumpervip
· 07-20 23:10
Просто так запустили?
Переглянути оригіналвідповісти на0
SatoshiLegendvip
· 07-20 23:09
З точки зору вихідного коду історія завжди повторюється
Переглянути оригіналвідповісти на0
DaoGovernanceOfficervip
· 07-20 23:05
*sigh* ще один протокол, що пропускає базові заходи безпеки... передбачувано, якщо чесно
Переглянути оригіналвідповісти на0
MissingSatsvip
· 07-20 23:05
Знову дозвіл на повторну атаку безпеки занадто поганий
Переглянути оригіналвідповісти на0
ClassicDumpstervip
· 07-20 22:55
Ця помилка справді смачна До місяця
Переглянути оригіналвідповісти на0
DaoDevelopervip
· 07-20 22:51
сумно... базова перевірка повторного входу вловила б це
Переглянути оригіналвідповісти на0
ApeWithAPlanvip
· 07-20 22:48
Контракт має таку велику уразливість, як пройшла ця відповідність?
Переглянути оригіналвідповісти на0
  • Закріпити