Projeto de colecionáveis digitais de liga esportiva renomada expõe sérias vulnerabilidades de segurança, risco de cunhagem a custo zero gera alarme na indústria.
Recentemente, uma famosa liga desportiva lançou a sua série de colecionáveis digitais, mas esta iniciativa expôs uma preocupante vulnerabilidade de segurança. Após uma análise cuidadosa, descobrimos que o contrato inteligente utilizado para vender os colecionáveis digitais apresenta falhas graves. Esta vulnerabilidade permite que agentes mal-intencionados possam cunhar colecionáveis a custo zero e lucrar com a venda desses itens obtidos ilegalmente.
A causa fundamental desta vulnerabilidade de segurança reside em um defeito de design no mecanismo de validação de assinatura de usuários na lista branca. Especificamente, o contrato não conseguiu garantir a exclusividade e o uso único das assinaturas da lista branca. Isso significa que atacantes podem reutilizar as assinaturas de outros usuários da lista branca para cunhar colecionáveis, contornando assim as restrições de segurança originais.
Através de uma análise aprofundada do código do contrato, descobrimos que a função verify apresenta falhas de design evidentes. Esta função não inclui o endereço do iniciador da transação no processo de verificação da assinatura, e também carece de um mecanismo para evitar a reutilização da assinatura. Essas deveriam ser práticas básicas de segurança, mas foram ignoradas neste projeto tão notável.
Vulnerabilidades de segurança desse nível surgirem em projetos tão proeminentes é realmente surpreendente e preocupante. Isso não apenas expõe a negligência da equipe do projeto em relação à segurança dos contratos inteligentes, mas também destaca que, durante o desenvolvimento de projetos de blockchain, até mesmo os princípios de segurança mais básicos podem ser ignorados.
Este evento sem dúvida soou o alarme para toda a indústria. Ele nos lembra que, independentemente da escala do projeto, é imprescindível aderir estritamente às melhores práticas de segurança ao projetar e implementar contratos inteligentes. Ao mesmo tempo, isso também enfatiza a importância de realizar uma auditoria de segurança abrangente e profissional antes do lançamento do projeto.
Para os usuários, este caso mais uma vez prova a necessidade de manter cautela ao participar de qualquer projeto de blockchain. Mesmo projetos respaldados por marcas conhecidas podem apresentar riscos de segurança potenciais.
De um modo geral, este evento não apenas revelou problemas específicos de determinados projetos, mas também é um reflexo de que toda a indústria ainda tem espaço para melhorar em termos de consciência e práticas de segurança. Ele deve incentivar desenvolvedores, auditores e equipes de projetos a darem mais atenção à segurança dos contratos inteligentes, a fim de garantir a segurança dos ativos dos usuários e o saudável desenvolvimento de todo o ecossistema.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
8 gostos
Recompensa
8
3
Partilhar
Comentar
0/400
ZKSherlock
· 07-21 21:22
na verdade... validação de assinatura a nível amador. isso é criptografia 101, pessoal. onde está a implementação do nonce?
Ver originalResponder0
MetaDreamer
· 07-21 21:19
A verificação da lista de permissões não foi tratada corretamente... a comida chegou à casa da avó.
Ver originalResponder0
NotFinancialAdviser
· 07-21 21:03
Que lista de permissões é esta? É tudo uma lista de idiotas.
Projeto de colecionáveis digitais de liga esportiva renomada expõe sérias vulnerabilidades de segurança, risco de cunhagem a custo zero gera alarme na indústria.
Recentemente, uma famosa liga desportiva lançou a sua série de colecionáveis digitais, mas esta iniciativa expôs uma preocupante vulnerabilidade de segurança. Após uma análise cuidadosa, descobrimos que o contrato inteligente utilizado para vender os colecionáveis digitais apresenta falhas graves. Esta vulnerabilidade permite que agentes mal-intencionados possam cunhar colecionáveis a custo zero e lucrar com a venda desses itens obtidos ilegalmente.
A causa fundamental desta vulnerabilidade de segurança reside em um defeito de design no mecanismo de validação de assinatura de usuários na lista branca. Especificamente, o contrato não conseguiu garantir a exclusividade e o uso único das assinaturas da lista branca. Isso significa que atacantes podem reutilizar as assinaturas de outros usuários da lista branca para cunhar colecionáveis, contornando assim as restrições de segurança originais.
Através de uma análise aprofundada do código do contrato, descobrimos que a função verify apresenta falhas de design evidentes. Esta função não inclui o endereço do iniciador da transação no processo de verificação da assinatura, e também carece de um mecanismo para evitar a reutilização da assinatura. Essas deveriam ser práticas básicas de segurança, mas foram ignoradas neste projeto tão notável.
Vulnerabilidades de segurança desse nível surgirem em projetos tão proeminentes é realmente surpreendente e preocupante. Isso não apenas expõe a negligência da equipe do projeto em relação à segurança dos contratos inteligentes, mas também destaca que, durante o desenvolvimento de projetos de blockchain, até mesmo os princípios de segurança mais básicos podem ser ignorados.
Este evento sem dúvida soou o alarme para toda a indústria. Ele nos lembra que, independentemente da escala do projeto, é imprescindível aderir estritamente às melhores práticas de segurança ao projetar e implementar contratos inteligentes. Ao mesmo tempo, isso também enfatiza a importância de realizar uma auditoria de segurança abrangente e profissional antes do lançamento do projeto.
Para os usuários, este caso mais uma vez prova a necessidade de manter cautela ao participar de qualquer projeto de blockchain. Mesmo projetos respaldados por marcas conhecidas podem apresentar riscos de segurança potenciais.
De um modo geral, este evento não apenas revelou problemas específicos de determinados projetos, mas também é um reflexo de que toda a indústria ainda tem espaço para melhorar em termos de consciência e práticas de segurança. Ele deve incentivar desenvolvedores, auditores e equipes de projetos a darem mais atenção à segurança dos contratos inteligentes, a fim de garantir a segurança dos ativos dos usuários e o saudável desenvolvimento de todo o ecossistema.