Известный проект цифровых коллекционных предметов спортивного альянса обнажил серьезные уязвимости в безопасности. Риск минтинга без затрат вызвал тревогу в отрасли.
Недавно известный спортивный союз запустил свою серию цифровых коллекционных предметов, но этот шаг выявил тревожную уязвимость в безопасности. После тщательного анализа мы обнаружили, что смарт-контракты, используемые для продажи цифровых коллекционных предметов, имеют серьезные недостатки. Эта уязвимость позволяет злоумышленникам без затрат минтить предметы и извлекать прибыль, продавая эти незаконно полученные предметы.
!
Основная причина этой уязвимости безопасности заключается в недостатках в механизме проверки подписей пользователей белого списка. Конкретно, смарт-контракт не обеспечивает эксклюзивность и одноразовое использование подписей белого списка. Это означает, что злоумышленники могут повторно использовать подписи других пользователей белого списка для минтинга коллекционных предметов, тем самым обходя существующие ограничения безопасности.
Путем глубокого анализа кода контракта мы обнаружили явные недостатки в дизайне функции verify. Эта функция не включает адрес инициатора транзакции в процесс проверки подписи и также не имеет механизма предотвращения повторного использования подписи. Эти аспекты должны быть основными практиками безопасности, однако они были проигнорированы в этом широко обсуждаемом проекте.
Такого рода уязвимости безопасности появляются в столь громких проектах, что действительно вызывает удивление и беспокойство. Это не только выявляет небрежность команды проекта в области безопасности смарт-контрактов, но и подчеркивает, что в процессе разработки блокчейн-проектов даже самые основные принципы безопасности могут быть проигнорированы.
Это событие, несомненно, прозвучало тревожным сигналом для всей отрасли. Оно напоминает нам, что независимо от масштаба проекта, при проектировании и реализации смарт-контрактов необходимо строго соблюдать лучшие практики безопасности. В то же время это подчеркивает важность проведения всестороннего и профессионального аудита безопасности перед запуском проекта.
Для пользователей этот случай снова подтверждает необходимость проявлять осторожность при участии в любых блокчейн-проектах. Даже проекты, поддержанные известными брендами, могут иметь потенциальные риски безопасности.
В целом, это событие не только выявило проблемы конкретного проекта, но также является отражением того, что в индустрии все еще есть пространство для улучшения в области безопасности и практики. Оно должно вдохновить разработчиков, аудиторов и команды проектов более серьезно относиться к безопасности смарт-контрактов, чтобы обеспечить безопасность активов пользователей и здоровое развитие всей экосистемы.
!
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
6
Поделиться
комментарий
0/400
SchrodingerAirdrop
· 07-24 09:35
Не могу создать токен, сначала давайте немного поработаем с инженером.
Посмотреть ОригиналОтветить0
Whale_Whisperer
· 07-23 20:56
Опять разрешенный список не был хорошо спроектирован, овощи.
Посмотреть ОригиналОтветить0
LuckyHashValue
· 07-23 08:52
Снова пришёл в белый **мутный пруд...
Посмотреть ОригиналОтветить0
ZKSherlock
· 07-21 21:22
на самом деле... валидация подписи на любительском уровне. это криптография 101, люди. где реализация nonce?
Посмотреть ОригиналОтветить0
MetaDreamer
· 07-21 21:19
Разрешенный список верификация не была обработана должным образом... овощи уже до бабушки доехали
Известный проект цифровых коллекционных предметов спортивного альянса обнажил серьезные уязвимости в безопасности. Риск минтинга без затрат вызвал тревогу в отрасли.
Недавно известный спортивный союз запустил свою серию цифровых коллекционных предметов, но этот шаг выявил тревожную уязвимость в безопасности. После тщательного анализа мы обнаружили, что смарт-контракты, используемые для продажи цифровых коллекционных предметов, имеют серьезные недостатки. Эта уязвимость позволяет злоумышленникам без затрат минтить предметы и извлекать прибыль, продавая эти незаконно полученные предметы.
!
Основная причина этой уязвимости безопасности заключается в недостатках в механизме проверки подписей пользователей белого списка. Конкретно, смарт-контракт не обеспечивает эксклюзивность и одноразовое использование подписей белого списка. Это означает, что злоумышленники могут повторно использовать подписи других пользователей белого списка для минтинга коллекционных предметов, тем самым обходя существующие ограничения безопасности.
Путем глубокого анализа кода контракта мы обнаружили явные недостатки в дизайне функции verify. Эта функция не включает адрес инициатора транзакции в процесс проверки подписи и также не имеет механизма предотвращения повторного использования подписи. Эти аспекты должны быть основными практиками безопасности, однако они были проигнорированы в этом широко обсуждаемом проекте.
Такого рода уязвимости безопасности появляются в столь громких проектах, что действительно вызывает удивление и беспокойство. Это не только выявляет небрежность команды проекта в области безопасности смарт-контрактов, но и подчеркивает, что в процессе разработки блокчейн-проектов даже самые основные принципы безопасности могут быть проигнорированы.
Это событие, несомненно, прозвучало тревожным сигналом для всей отрасли. Оно напоминает нам, что независимо от масштаба проекта, при проектировании и реализации смарт-контрактов необходимо строго соблюдать лучшие практики безопасности. В то же время это подчеркивает важность проведения всестороннего и профессионального аудита безопасности перед запуском проекта.
Для пользователей этот случай снова подтверждает необходимость проявлять осторожность при участии в любых блокчейн-проектах. Даже проекты, поддержанные известными брендами, могут иметь потенциальные риски безопасности.
В целом, это событие не только выявило проблемы конкретного проекта, но также является отражением того, что в индустрии все еще есть пространство для улучшения в области безопасности и практики. Оно должно вдохновить разработчиков, аудиторов и команды проектов более серьезно относиться к безопасности смарт-контрактов, чтобы обеспечить безопасность активов пользователей и здоровое развитие всей экосистемы.
!