Недавно одна крупная спортивная лига выпустила свою серию цифровых коллекционных предметов, однако этот шаг выявил серьезную угрозу безопасности. После тщательного расследования мы обнаружили, что смарт-контракты этой серии цифровых коллекционных предметов имеют серьезные уязвимости, которые дают возможность злоумышленникам без затрат получить коллекционные предметы и извлечь из этого прибыль.
!
Корень этой уязвимости заключается в том, что механизм проверки подписей пользователей белого списка в смарт-контрактах имеет недостатки. В частности, контракт не смог обеспечить эксклюзивность и однократное использование подписей белого списка. Это означает, что злоумышленники могут повторно использовать подписи других пользователей белого списка для чеканки коллекционных предметов.
С технической точки зрения, в дизайне функции verify есть явные недостатки: в процессе проверки подписи не учитывается адрес отправителя транзакции. Кроме того, контракт также не имеет механизма предотвращения повторного использования подписи. Эти меры должны быть основными мерами безопасности программного обеспечения, но они были проигнорированы в этом заметном проекте, что действительно вызывает недоумение.
!
Это событие подчеркивает, что даже известные учреждения могут упускать из виду основные практики безопасности в разработке блокчейн-проектов. Оно снова акцентирует важность строгого соблюдения лучших практик безопасности в процессе проектирования и реализации смарт-контрактов. Для участников рынка цифровых коллекционных предметов это, безусловно, является сигналом тревоги, напоминающим им о необходимости большей осторожности при участии в соответствующих проектах и о необходимости поддерживать высокий уровень внимания к технической реализации проектов.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
6
Поделиться
комментарий
0/400
GweiWatcher
· 15ч назад
Трава, снова контракт попал под удар.
Посмотреть ОригиналОтветить0
OldLeekMaster
· 07-25 02:08
Поговорим об этом, когда маленькая синяя шляпа сдаст экзамен.
Посмотреть ОригиналОтветить0
DAOplomacy
· 07-25 01:10
возможно, еще один случай недостаточно оптимальных структур стимулов... зависимость от пути снова дает о себе знать, честно говоря
Посмотреть ОригиналОтветить0
Ser_APY_2000
· 07-25 01:06
У контракта нет чувства безопасности, когда он будет разрушен, никто не знает.
Утечка уязвимости контрактов цифровых коллекционных предметов крупных спортивных лиг выявила проблемы безопасности
Недавно одна крупная спортивная лига выпустила свою серию цифровых коллекционных предметов, однако этот шаг выявил серьезную угрозу безопасности. После тщательного расследования мы обнаружили, что смарт-контракты этой серии цифровых коллекционных предметов имеют серьезные уязвимости, которые дают возможность злоумышленникам без затрат получить коллекционные предметы и извлечь из этого прибыль.
!
Корень этой уязвимости заключается в том, что механизм проверки подписей пользователей белого списка в смарт-контрактах имеет недостатки. В частности, контракт не смог обеспечить эксклюзивность и однократное использование подписей белого списка. Это означает, что злоумышленники могут повторно использовать подписи других пользователей белого списка для чеканки коллекционных предметов.
С технической точки зрения, в дизайне функции verify есть явные недостатки: в процессе проверки подписи не учитывается адрес отправителя транзакции. Кроме того, контракт также не имеет механизма предотвращения повторного использования подписи. Эти меры должны быть основными мерами безопасности программного обеспечения, но они были проигнорированы в этом заметном проекте, что действительно вызывает недоумение.
!
Это событие подчеркивает, что даже известные учреждения могут упускать из виду основные практики безопасности в разработке блокчейн-проектов. Оно снова акцентирует важность строгого соблюдения лучших практик безопасности в процессе проектирования и реализации смарт-контрактов. Для участников рынка цифровых коллекционных предметов это, безусловно, является сигналом тревоги, напоминающим им о необходимости большей осторожности при участии в соответствующих проектах и о необходимости поддерживать высокий уровень внимания к технической реализации проектов.