Récemment, une grande ligue sportive a lancé sa propre série de collections numériques, mais cette initiative a mis en lumière une grave faille de sécurité. Après une enquête approfondie, nous avons découvert que les smart contracts de cette série de collections numériques présentaient des vulnérabilités majeures, permettant aux malfaiteurs d'obtenir les collections sans coût et d'en tirer profit.
La racine de cette vulnérabilité réside dans le mécanisme de vérification de la signature des utilisateurs de la liste blanche dans le contrat. Plus précisément, le contrat n'a pas réussi à garantir l'exclusivité et l'unicité des signatures de la liste blanche. Cela signifie qu'un attaquant peut réutiliser la signature d'autres utilisateurs de la liste blanche pour frapper des objets de collection.
D'un point de vue technique, la conception de la fonction verify présente des défauts évidents, car elle n'inclut pas l'adresse de l'expéditeur de la transaction dans le processus de vérification de la signature. De plus, le contrat manque de mécanismes pour prévenir la réutilisation des signatures. Ces mesures de sécurité logicielle de base ont été négligées dans ce projet très médiatisé, ce qui est vraiment perturbant.
Cet événement souligne qu'au cours du développement de projets blockchain, même des institutions renommées peuvent négliger les pratiques de sécurité fondamentales. Il réaffirme l'importance de respecter strictement les meilleures pratiques de sécurité lors de la conception et de la mise en œuvre de smart contracts. Pour les acteurs du marché des actifs numériques, c'est sans aucun doute un signal d'alarme, leur rappelant qu'ils doivent être plus prudents lorsqu'ils participent à des projets connexes et maintenir une attention particulière sur la mise en œuvre technique des projets.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
13 J'aime
Récompense
13
5
Partager
Commentaire
0/400
OldLeekMaster
· 07-25 02:08
On verra après que le petit chapeau bleu a passé l'examen.
Voir l'originalRépondre0
DAOplomacy
· 07-25 01:10
on peut dire que c'est un autre cas de structures d'incitation sous-optimales qui se manifestent... la dépendance au chemin frappe encore une fois, pour être honnête
Voir l'originalRépondre0
Ser_APY_2000
· 07-25 01:06
Le contrat n'a pas de sensibilisation à la sécurité, il ne sait pas quand il sera détruit.
Voir l'originalRépondre0
BoredWatcher
· 07-25 01:04
Il vaudrait mieux écrire le code à la main dès le départ.
Voir l'originalRépondre0
BearMarketHustler
· 07-25 01:00
Encore des failles, quand cela va-t-il s'arrêter ?
Vulnérabilité des contrats de collections numériques des grandes ligues sportives dévoilée, mettant en évidence des risques de sécurité.
Récemment, une grande ligue sportive a lancé sa propre série de collections numériques, mais cette initiative a mis en lumière une grave faille de sécurité. Après une enquête approfondie, nous avons découvert que les smart contracts de cette série de collections numériques présentaient des vulnérabilités majeures, permettant aux malfaiteurs d'obtenir les collections sans coût et d'en tirer profit.
La racine de cette vulnérabilité réside dans le mécanisme de vérification de la signature des utilisateurs de la liste blanche dans le contrat. Plus précisément, le contrat n'a pas réussi à garantir l'exclusivité et l'unicité des signatures de la liste blanche. Cela signifie qu'un attaquant peut réutiliser la signature d'autres utilisateurs de la liste blanche pour frapper des objets de collection.
D'un point de vue technique, la conception de la fonction verify présente des défauts évidents, car elle n'inclut pas l'adresse de l'expéditeur de la transaction dans le processus de vérification de la signature. De plus, le contrat manque de mécanismes pour prévenir la réutilisation des signatures. Ces mesures de sécurité logicielle de base ont été négligées dans ce projet très médiatisé, ce qui est vraiment perturbant.
Cet événement souligne qu'au cours du développement de projets blockchain, même des institutions renommées peuvent négliger les pratiques de sécurité fondamentales. Il réaffirme l'importance de respecter strictement les meilleures pratiques de sécurité lors de la conception et de la mise en œuvre de smart contracts. Pour les acteurs du marché des actifs numériques, c'est sans aucun doute un signal d'alarme, leur rappelant qu'ils doivent être plus prudents lorsqu'ils participent à des projets connexes et maintenir une attention particulière sur la mise en œuvre technique des projets.