Останнім часом великий спортивний альянс запустив свою серію цифрових колекцій, однак цей крок виявив серйозну проблему з безпекою. Після ретельного розслідування ми виявили, що смартконтракти цієї серії цифрових колекцій містять суттєві вразливості, що дає можливість злочинцям безкоштовно отримувати колекції та отримувати з них прибуток.
!
Ця вразливість походить з дефекту механізму перевірки підписів користувачів білого списку в смартконтрактах. Конкретно, контракт не забезпечив ексклюзивність та одноразове використання підписів білого списку. Це означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для карбування колекцій.
З технічної точки зору, у дизайні функції verify є очевидний недолік: вона не включає адресу відправника транзакції до процесу перевірки підпису. Крім того, контракт також не має механізму запобігання повторному використанню підписів. Це мали б бути основні заходи безпеки програмного забезпечення, але вони були проігноровані в цьому помітному проєкті, що дійсно викликає подив.
!
Ця подія підкреслює, що навіть відомі установи можуть виявити недбалість у базових практиках безпеки під час розробки проектів на блокчейні. Це знову підкреслює важливість суворого дотримання найкращих практик безпеки під час проектування та реалізації смартконтрактів. Для учасників ринку цифрових колекцій це безсумнівно є попередженням, що нагадує їм про необхідність бути більш обережними при участі в відповідних проектах і зберігати високу увагу до технічної реалізації проектів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
6
Поділіться
Прокоментувати
0/400
GweiWatcher
· 13год тому
Трава, знову контракт отримав удар.
Переглянути оригіналвідповісти на0
OldLeekMaster
· 07-25 02:08
Поговоримо про це після того, як малий синій капелюшок складе іспит.
Переглянути оригіналвідповісти на0
DAOplomacy
· 07-25 01:10
можливо, ще один випадок не оптимальних структур стимулів... залежність від шляху знову дає про себе знати, якщо чесно
Переглянути оригіналвідповісти на0
Ser_APY_2000
· 07-25 01:06
Контракт не має жодної свідомості про безпеку, не відомо, коли його знищать.
Виявлено вразливість контракту цифрових колекцій великих спортивних ліг, що підкреслює проблеми безпеки
Останнім часом великий спортивний альянс запустив свою серію цифрових колекцій, однак цей крок виявив серйозну проблему з безпекою. Після ретельного розслідування ми виявили, що смартконтракти цієї серії цифрових колекцій містять суттєві вразливості, що дає можливість злочинцям безкоштовно отримувати колекції та отримувати з них прибуток.
!
Ця вразливість походить з дефекту механізму перевірки підписів користувачів білого списку в смартконтрактах. Конкретно, контракт не забезпечив ексклюзивність та одноразове використання підписів білого списку. Це означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для карбування колекцій.
З технічної точки зору, у дизайні функції verify є очевидний недолік: вона не включає адресу відправника транзакції до процесу перевірки підпису. Крім того, контракт також не має механізму запобігання повторному використанню підписів. Це мали б бути основні заходи безпеки програмного забезпечення, але вони були проігноровані в цьому помітному проєкті, що дійсно викликає подив.
!
Ця подія підкреслює, що навіть відомі установи можуть виявити недбалість у базових практиках безпеки під час розробки проектів на блокчейні. Це знову підкреслює важливість суворого дотримання найкращих практик безпеки під час проектування та реалізації смартконтрактів. Для учасників ринку цифрових колекцій це безсумнівно є попередженням, що нагадує їм про необхідність бути більш обережними при участі в відповідних проектах і зберігати високу увагу до технічної реалізації проектів.