Un projet de collection numérique d'une célèbre ligue sportive a révélé de graves vulnérabilités de sécurité, le risque de minting à coût zéro a suscité une alerte dans l'industrie.
Récemment, une célèbre ligue sportive a lancé sa série de collections numériques, mais cette initiative a révélé une vulnérabilité de sécurité préoccupante. Après une analyse minutieuse, nous avons découvert que le smart contract utilisé pour vendre les collections numériques présente de graves défauts. Cette faille permet à des acteurs malveillants de minting des collections à zéro coût et de profiter de la vente de ces collections obtenues illégalement.
La cause fondamentale de cette vulnérabilité de sécurité réside dans le défaut de conception du mécanisme de validation des signatures des utilisateurs sur liste blanche. Plus précisément, le contrat n'a pas réussi à garantir l'exclusivité et l'utilisation unique des signatures sur liste blanche. Cela signifie qu'un attaquant peut réutiliser les signatures d'autres utilisateurs sur liste blanche pour le minting de collections, contournant ainsi les limitations de sécurité existantes.
Lors d'un examen approfondi du code du contrat, nous avons constaté que la fonction verify présente des défauts de conception évidents. Cette fonction n'inclut pas l'adresse de l'initiateur de la transaction dans le processus de vérification de la signature et manque également d'un mécanisme pour prévenir la réutilisation des signatures. Ces pratiques de sécurité de base ont été ignorées dans ce projet très médiatisé.
Des vulnérabilités de sécurité de ce niveau apparaissant dans des projets aussi en vue sont effectivement surprenantes et préoccupantes. Elles révèlent non seulement la négligence des équipes de projet en matière de sécurité des smart contracts, mais soulignent également que même les principes de sécurité les plus fondamentaux peuvent être ignorés lors du développement de projets blockchain.
Cet événement a sans aucun doute sonné l'alarme pour l'ensemble de l'industrie. Il nous rappelle que, quelle que soit l'ampleur d'un projet, il est essentiel de respecter rigoureusement les meilleures pratiques en matière de sécurité lors de la conception et de la mise en œuvre des smart contracts. En outre, cela souligne l'importance d'effectuer un audit de sécurité complet et professionnel avant le lancement du projet.
Pour les utilisateurs, ce cas prouve une fois de plus la nécessité de rester prudent lors de la participation à tout projet de blockchain. Même les projets soutenus par des marques reconnues peuvent présenter des risques de sécurité potentiels.
Dans l'ensemble, cet événement révèle non seulement les problèmes spécifiques des projets, mais il est aussi le reflet du fait que l'ensemble du secteur a encore des progrès à faire en matière de sensibilisation à la sécurité et de pratiques. Cela devrait inciter les développeurs, les auditeurs et les équipes de projet à accorder une plus grande importance à la sécurité des smart contracts, afin d'assurer la sécurité des actifs des utilisateurs et le développement sain de l'ensemble de l'écosystème.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
8 J'aime
Récompense
8
3
Partager
Commentaire
0/400
ZKSherlock
· 07-21 21:22
en fait... validation de signature de niveau amateur. c'est la cryptographie 101, les gens. où est l'implémentation du nonce ?
Voir l'originalRépondre0
MetaDreamer
· 07-21 21:19
Allowlist n'a pas été correctement traité... c'est vraiment mauvais.
Un projet de collection numérique d'une célèbre ligue sportive a révélé de graves vulnérabilités de sécurité, le risque de minting à coût zéro a suscité une alerte dans l'industrie.
Récemment, une célèbre ligue sportive a lancé sa série de collections numériques, mais cette initiative a révélé une vulnérabilité de sécurité préoccupante. Après une analyse minutieuse, nous avons découvert que le smart contract utilisé pour vendre les collections numériques présente de graves défauts. Cette faille permet à des acteurs malveillants de minting des collections à zéro coût et de profiter de la vente de ces collections obtenues illégalement.
La cause fondamentale de cette vulnérabilité de sécurité réside dans le défaut de conception du mécanisme de validation des signatures des utilisateurs sur liste blanche. Plus précisément, le contrat n'a pas réussi à garantir l'exclusivité et l'utilisation unique des signatures sur liste blanche. Cela signifie qu'un attaquant peut réutiliser les signatures d'autres utilisateurs sur liste blanche pour le minting de collections, contournant ainsi les limitations de sécurité existantes.
Lors d'un examen approfondi du code du contrat, nous avons constaté que la fonction verify présente des défauts de conception évidents. Cette fonction n'inclut pas l'adresse de l'initiateur de la transaction dans le processus de vérification de la signature et manque également d'un mécanisme pour prévenir la réutilisation des signatures. Ces pratiques de sécurité de base ont été ignorées dans ce projet très médiatisé.
Des vulnérabilités de sécurité de ce niveau apparaissant dans des projets aussi en vue sont effectivement surprenantes et préoccupantes. Elles révèlent non seulement la négligence des équipes de projet en matière de sécurité des smart contracts, mais soulignent également que même les principes de sécurité les plus fondamentaux peuvent être ignorés lors du développement de projets blockchain.
Cet événement a sans aucun doute sonné l'alarme pour l'ensemble de l'industrie. Il nous rappelle que, quelle que soit l'ampleur d'un projet, il est essentiel de respecter rigoureusement les meilleures pratiques en matière de sécurité lors de la conception et de la mise en œuvre des smart contracts. En outre, cela souligne l'importance d'effectuer un audit de sécurité complet et professionnel avant le lancement du projet.
Pour les utilisateurs, ce cas prouve une fois de plus la nécessité de rester prudent lors de la participation à tout projet de blockchain. Même les projets soutenus par des marques reconnues peuvent présenter des risques de sécurité potentiels.
Dans l'ensemble, cet événement révèle non seulement les problèmes spécifiques des projets, mais il est aussi le reflet du fait que l'ensemble du secteur a encore des progrès à faire en matière de sensibilisation à la sécurité et de pratiques. Cela devrait inciter les développeurs, les auditeurs et les équipes de projet à accorder une plus grande importance à la sécurité des smart contracts, afin d'assurer la sécurité des actifs des utilisateurs et le développement sain de l'ensemble de l'écosystème.