Un conocido proyecto de coleccionables digitales de una liga deportiva ha expuesto graves vulnerabilidades de seguridad, lo que ha generado alarma en la industria debido al riesgo de acuñando sin costo.
Recientemente, una famosa liga deportiva lanzó su serie de coleccionables digitales, pero esta iniciativa expuso una preocupante vulnerabilidad de seguridad. Tras un análisis cuidadoso, descubrimos que el contrato inteligente utilizado para la venta de coleccionables digitales presenta defectos graves. Esta vulnerabilidad permite a los actores maliciosos acuñar coleccionables a costo cero y lucrar vendiendo estos coleccionables obtenidos ilegalmente.
La causa fundamental de esta vulnerabilidad de seguridad radica en el defecto de diseño del mecanismo de verificación de firmas de usuarios en la lista blanca. En concreto, el contrato no logró asegurar la exclusividad y el uso único de las firmas de la lista blanca. Esto significa que un atacante puede reutilizar las firmas de otros usuarios de la lista blanca para acuñar coleccionables, eludiendo así las restricciones de seguridad originales.
A través de una revisión exhaustiva del código del contrato, descubrimos que la función verify presenta defectos de diseño evidentes. Esta función no incluye la dirección del iniciador de la transacción en el proceso de verificación de firmas, y también carece de un mecanismo para prevenir el uso repetido de firmas. Estas deberían ser prácticas de seguridad básicas, pero han sido ignoradas en este proyecto tan destacado.
La aparición de vulnerabilidades de seguridad de este nivel en un proyecto tan destacado es realmente sorprendente y preocupante. No solo expone la negligencia del equipo del proyecto en cuanto a la seguridad de los contratos inteligentes, sino que también destaca que, en el proceso de desarrollo de proyectos de blockchain, incluso los principios de seguridad más básicos pueden ser ignorados.
Este evento sin duda ha sonado la alarma para toda la industria. Nos recuerda que, sin importar la escala del proyecto, es imperativo seguir estrictamente las mejores prácticas de seguridad al diseñar e implementar contratos inteligentes. Al mismo tiempo, también enfatiza la importancia de realizar una auditoría de seguridad completa y profesional antes de lanzar el proyecto.
Para los usuarios, este caso demuestra una vez más la necesidad de mantener la precaución al participar en cualquier proyecto de blockchain. Incluso los proyectos respaldados por marcas reconocidas pueden tener riesgos de seguridad potenciales.
En general, este evento no solo revela los problemas de proyectos específicos, sino que también es un reflejo de que toda la industria aún tiene espacio para mejorar en términos de conciencia y prácticas de seguridad. Debería motivar a los desarrolladores, auditores y equipos de proyectos a prestar más atención a la seguridad de los contratos inteligentes, para garantizar la seguridad de los activos de los usuarios y el desarrollo saludable de todo el ecosistema.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
6
Compartir
Comentar
0/400
SchrodingerAirdrop
· hace8h
No puedo acuñar moneda, primero voy a aprovechar un poco a los ingenieros.
Ver originalesResponder0
Whale_Whisperer
· hace21h
Otra vez la lista de permitidos no está bien diseñada, ¡qué mal!
Ver originalesResponder0
LuckyHashValue
· 07-23 08:52
De nuevo en el estanque de los blancos**...
Ver originalesResponder0
ZKSherlock
· 07-21 21:22
en realidad... validación de firmas a nivel amateur. esto es criptografía 101, gente. ¿dónde está la implementación del nonce?
Ver originalesResponder0
MetaDreamer
· 07-21 21:19
Lista de permitidos la verificación no se ha manejado bien... he llegado a casa de mi abuela.
Un conocido proyecto de coleccionables digitales de una liga deportiva ha expuesto graves vulnerabilidades de seguridad, lo que ha generado alarma en la industria debido al riesgo de acuñando sin costo.
Recientemente, una famosa liga deportiva lanzó su serie de coleccionables digitales, pero esta iniciativa expuso una preocupante vulnerabilidad de seguridad. Tras un análisis cuidadoso, descubrimos que el contrato inteligente utilizado para la venta de coleccionables digitales presenta defectos graves. Esta vulnerabilidad permite a los actores maliciosos acuñar coleccionables a costo cero y lucrar vendiendo estos coleccionables obtenidos ilegalmente.
La causa fundamental de esta vulnerabilidad de seguridad radica en el defecto de diseño del mecanismo de verificación de firmas de usuarios en la lista blanca. En concreto, el contrato no logró asegurar la exclusividad y el uso único de las firmas de la lista blanca. Esto significa que un atacante puede reutilizar las firmas de otros usuarios de la lista blanca para acuñar coleccionables, eludiendo así las restricciones de seguridad originales.
A través de una revisión exhaustiva del código del contrato, descubrimos que la función verify presenta defectos de diseño evidentes. Esta función no incluye la dirección del iniciador de la transacción en el proceso de verificación de firmas, y también carece de un mecanismo para prevenir el uso repetido de firmas. Estas deberían ser prácticas de seguridad básicas, pero han sido ignoradas en este proyecto tan destacado.
La aparición de vulnerabilidades de seguridad de este nivel en un proyecto tan destacado es realmente sorprendente y preocupante. No solo expone la negligencia del equipo del proyecto en cuanto a la seguridad de los contratos inteligentes, sino que también destaca que, en el proceso de desarrollo de proyectos de blockchain, incluso los principios de seguridad más básicos pueden ser ignorados.
Este evento sin duda ha sonado la alarma para toda la industria. Nos recuerda que, sin importar la escala del proyecto, es imperativo seguir estrictamente las mejores prácticas de seguridad al diseñar e implementar contratos inteligentes. Al mismo tiempo, también enfatiza la importancia de realizar una auditoría de seguridad completa y profesional antes de lanzar el proyecto.
Para los usuarios, este caso demuestra una vez más la necesidad de mantener la precaución al participar en cualquier proyecto de blockchain. Incluso los proyectos respaldados por marcas reconocidas pueden tener riesgos de seguridad potenciales.
En general, este evento no solo revela los problemas de proyectos específicos, sino que también es un reflejo de que toda la industria aún tiene espacio para mejorar en términos de conciencia y prácticas de seguridad. Debería motivar a los desarrolladores, auditores y equipos de proyectos a prestar más atención a la seguridad de los contratos inteligentes, para garantizar la seguridad de los activos de los usuarios y el desarrollo saludable de todo el ecosistema.