Recentemente, uma grande liga esportiva lançou sua própria série de colecionáveis digitais, no entanto, essa ação expôs uma grave vulnerabilidade de segurança. Após uma investigação aprofundada, descobrimos que os contratos inteligentes dessa série de colecionáveis digitais apresentam falhas significativas, permitindo que criminosos tenham a oportunidade de obter os colecionáveis sem custo e lucrar com isso.
A raiz desta vulnerabilidade está na falha do mecanismo de verificação de assinatura dos usuários da lista branca no contrato. Mais especificamente, o contrato falhou em garantir a exclusividade e a utilização única das assinaturas da lista branca. Isso significa que os atacantes podem reutilizar as assinaturas de outros usuários da lista branca para cunhar colecionáveis.
Do ponto de vista técnico, o design da função verify apresenta falhas evidentes, pois não inclui o endereço do remetente da transação no processo de validação da assinatura. Ao mesmo tempo, o contrato também carece de um mecanismo para impedir a reutilização de assinaturas. Estas deveriam ser medidas básicas de segurança de software, mas foram ignoradas neste projeto amplamente divulgado, o que é realmente desconcertante.
Este evento destaca que, mesmo instituições conhecidas, podem negligenciar práticas básicas de segurança no desenvolvimento de projetos de blockchain. Isso enfatiza novamente a importância de seguir rigorosamente as melhores práticas de segurança durante o design e a implementação de contratos inteligentes. Para os participantes do mercado de colecionáveis digitais, isso é sem dúvida um alerta, lembrando-os da necessidade de serem mais cautelosos ao participar de projetos relacionados e de manterem uma alta atenção à implementação técnica dos projetos.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
16 gostos
Recompensa
16
6
Partilhar
Comentar
0/400
GweiWatcher
· 07-27 16:23
A grama foi novamente atingida por um contrato.
Ver originalResponder0
OldLeekMaster
· 07-25 02:08
Vamos falar sobre o chapéu azul pequeno depois do teste.
Ver originalResponder0
DAOplomacy
· 07-25 01:10
provavelmente mais um caso de estruturas de incentivos sub-ótimas a acontecer... a dependência do caminho ataca novamente, para ser honesto.
Ver originalResponder0
Ser_APY_2000
· 07-25 01:06
O contrato não tem consciência de segurança, não se sabe quando será destruído.
Ver originalResponder0
BoredWatcher
· 07-25 01:04
Ainda é melhor do que escrever código à mão desde o início.
Ver originalResponder0
BearMarketHustler
· 07-25 01:00
Mais uma vulnerabilidade. Quando é que isto acaba?
Vazamento de vulnerabilidades em contratos de colecionáveis digitais de grandes ligas esportivas destaca riscos de segurança
Recentemente, uma grande liga esportiva lançou sua própria série de colecionáveis digitais, no entanto, essa ação expôs uma grave vulnerabilidade de segurança. Após uma investigação aprofundada, descobrimos que os contratos inteligentes dessa série de colecionáveis digitais apresentam falhas significativas, permitindo que criminosos tenham a oportunidade de obter os colecionáveis sem custo e lucrar com isso.
A raiz desta vulnerabilidade está na falha do mecanismo de verificação de assinatura dos usuários da lista branca no contrato. Mais especificamente, o contrato falhou em garantir a exclusividade e a utilização única das assinaturas da lista branca. Isso significa que os atacantes podem reutilizar as assinaturas de outros usuários da lista branca para cunhar colecionáveis.
Do ponto de vista técnico, o design da função verify apresenta falhas evidentes, pois não inclui o endereço do remetente da transação no processo de validação da assinatura. Ao mesmo tempo, o contrato também carece de um mecanismo para impedir a reutilização de assinaturas. Estas deveriam ser medidas básicas de segurança de software, mas foram ignoradas neste projeto amplamente divulgado, o que é realmente desconcertante.
Este evento destaca que, mesmo instituições conhecidas, podem negligenciar práticas básicas de segurança no desenvolvimento de projetos de blockchain. Isso enfatiza novamente a importância de seguir rigorosamente as melhores práticas de segurança durante o design e a implementação de contratos inteligentes. Para os participantes do mercado de colecionáveis digitais, isso é sem dúvida um alerta, lembrando-os da necessidade de serem mais cautelosos ao participar de projetos relacionados e de manterem uma alta atenção à implementação técnica dos projetos.