O contrato inteligente dos colecionáveis digitais da NBA apresenta uma grave vulnerabilidade, expondo riscos de segurança do projeto devido a uma falha na cunhagem.
A NBA lançou recentemente uma série de colecionáveis digitais, mas o que surpreendeu foi que há uma grave vulnerabilidade nos contratos inteligentes que vendem esses colecionáveis. Pessoas com habilidades técnicas podem explorar essa vulnerabilidade para cunhar colecionáveis sem gastar um cêntimo e depois obter lucros com a venda.
A origem dessa vulnerabilidade está em um defeito no design do mecanismo de verificação de assinatura de usuários privilegiados. Especificamente, o contrato não garantiu que a assinatura do usuário privilegiado fosse única e também não a vinculou a um usuário específico. Portanto, pessoas mal-intencionadas podem reutilizar a assinatura de outros usuários privilegiados para cunhar colecionáveis.
A partir do código do contrato, é claro que a função de verificação não incluiu o endereço do iniciador da transação no conteúdo da assinatura. Além disso, o contrato também não implementou um mecanismo para prevenir o uso repetido da assinatura. Essas medidas de segurança deveriam ser um conhecimento básico no desenvolvimento de software. Surpreendentemente, uma falha tão óbvia apareceu em um projeto de tão alta visibilidade.
Este evento lembra-nos novamente que, mesmo projetos lançados por grandes instituições, podem apresentar sérias vulnerabilidades de segurança. Para os usuários que participam em transações de ativos digitais, é crucial manter-se sempre alerta e avaliar cuidadosamente a segurança de cada projeto. Ao mesmo tempo, isso também destaca a necessidade urgente de auditorias de segurança de alta qualidade na indústria de blockchain, bem como a necessidade de as equipes de desenvolvimento continuarem a aprender e melhorar as práticas de segurança.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
11 gostos
Recompensa
11
8
Partilhar
Comentar
0/400
Drunkarboy10
· 7h atrás
坚定HODL💎
Responder0
VenusLiquidity
· 7h atrás
坚定HODL💎
Responder0
LowCapGemHunter
· 7h atrás
Outra explosão? Os projetos de blockchain são muito amadores, não?
Ver originalResponder0
RooftopReserver
· 7h atrás
A segurança ainda precisa ser analisada! Já estou a ir!
Ver originalResponder0
GamefiEscapeArtist
· 7h atrás
Mais uma vez contratos dando errado! Todos os anos falamos de segurança e todos os anos vemos falhas.
Ver originalResponder0
APY追逐者
· 7h atrás
Mais uma vez um erro de contrato, realmente uma onda após a outra.
Ver originalResponder0
governance_ghost
· 7h atrás
A segurança é o mais importante, certo?
Ver originalResponder0
DataBartender
· 7h atrás
Outra vez contratos inteligentes falhando, suspiro~
O contrato inteligente dos colecionáveis digitais da NBA apresenta uma grave vulnerabilidade, expondo riscos de segurança do projeto devido a uma falha na cunhagem.
A NBA lançou recentemente uma série de colecionáveis digitais, mas o que surpreendeu foi que há uma grave vulnerabilidade nos contratos inteligentes que vendem esses colecionáveis. Pessoas com habilidades técnicas podem explorar essa vulnerabilidade para cunhar colecionáveis sem gastar um cêntimo e depois obter lucros com a venda.
A origem dessa vulnerabilidade está em um defeito no design do mecanismo de verificação de assinatura de usuários privilegiados. Especificamente, o contrato não garantiu que a assinatura do usuário privilegiado fosse única e também não a vinculou a um usuário específico. Portanto, pessoas mal-intencionadas podem reutilizar a assinatura de outros usuários privilegiados para cunhar colecionáveis.
A partir do código do contrato, é claro que a função de verificação não incluiu o endereço do iniciador da transação no conteúdo da assinatura. Além disso, o contrato também não implementou um mecanismo para prevenir o uso repetido da assinatura. Essas medidas de segurança deveriam ser um conhecimento básico no desenvolvimento de software. Surpreendentemente, uma falha tão óbvia apareceu em um projeto de tão alta visibilidade.
Este evento lembra-nos novamente que, mesmo projetos lançados por grandes instituições, podem apresentar sérias vulnerabilidades de segurança. Para os usuários que participam em transações de ativos digitais, é crucial manter-se sempre alerta e avaliar cuidadosamente a segurança de cada projeto. Ao mesmo tempo, isso também destaca a necessidade urgente de auditorias de segurança de alta qualidade na indústria de blockchain, bem como a necessidade de as equipes de desenvolvimento continuarem a aprender e melhorar as práticas de segurança.