Se revela una importante vulnerabilidad en los coleccionables digitales de una conocida liga deportiva. La acuñación gratuita genera preocupaciones de seguridad.
Recientemente, una destacada liga deportiva lanzó una serie de coleccionables digitales, lo que ha generado bastante interés. Sin embargo, algunos expertos en seguridad han descubierto que el contrato de venta de esta serie de coleccionables digitales presenta graves vulnerabilidades. Esta vulnerabilidad permite a algunas personas con habilidades técnicas acuñar coleccionables sin pagar y obtener ganancias de ello.
La raíz de esta vulnerabilidad radica en un defecto en el mecanismo de verificación de firmas de los usuarios en la lista blanca del contrato. En concreto, los diseñadores del contrato no se aseguraron de la exclusividad y el uso único de las firmas de la lista blanca. Por lo tanto, las personas familiarizadas con el mecanismo del contrato pueden reutilizar las firmas de otros usuarios en la lista blanca para acuñar coleccionables.
Se puede ver claramente el problema en el código del contrato. La función verify, al realizar la verificación de la firma, no incluye la dirección del iniciador de la transacción en el contenido de la firma. Al mismo tiempo, el contrato tampoco establece un mecanismo para garantizar que cada firma solo se use una vez. Estas deberían ser prácticas de seguridad básicas, son conocimientos de nivel inicial en el desarrollo de software.
Es sorprendente que una vulnerabilidad de seguridad tan obvia haya aparecido en un proyecto con tan alta notoriedad. Esto hace que uno se pregunte si el equipo del proyecto ha descuidado la auditoría de seguridad. Este caso vuelve a enfatizar la importancia de la seguridad en los proyectos de blockchain, especialmente en aquellos que involucran activos digitales.
Para los participantes de la industria blockchain, este evento ofrece valiosas lecciones. Nos recuerda que incluso las medidas de seguridad más básicas no deben ser pasadas por alto. Al mismo tiempo, también resalta la necesidad de realizar una auditoría de seguridad completa y profesional antes de lanzar cualquier contrato inteligente que involucre activos de los usuarios.
En el futuro, esperamos ver más proyectos que valoren la seguridad de los contratos y adopten medidas de seguridad más estrictas para proteger los intereses de los usuarios. Al mismo tiempo, esto también ha sonado la alarma para toda la industria, recordándonos que al perseguir la innovación, no debemos ignorar los principios de seguridad más básicos.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
8 me gusta
Recompensa
8
5
Republicar
Compartir
Comentar
0/400
GhostWalletSleuth
· 08-06 03:57
Qué mal es este contrato, ¿quién lo escribió?
Ver originalesResponder0
GasWaster
· 08-04 06:21
fml... gasté más en auditar transacciones fallidas que en las auditorías reales smh
Ver originalesResponder0
DegenRecoveryGroup
· 08-04 06:08
¿Los desarrolladores de contratos inteligentes novatos aún se atreverán a abordar grandes proyectos?
Ver originalesResponder0
SorryRugPulled
· 08-04 05:50
啧 Lista de permitidos la firma tiene vulnerabilidades inversor minorista tomar a la gente por tonta
Se revela una importante vulnerabilidad en los coleccionables digitales de una conocida liga deportiva. La acuñación gratuita genera preocupaciones de seguridad.
Recientemente, una destacada liga deportiva lanzó una serie de coleccionables digitales, lo que ha generado bastante interés. Sin embargo, algunos expertos en seguridad han descubierto que el contrato de venta de esta serie de coleccionables digitales presenta graves vulnerabilidades. Esta vulnerabilidad permite a algunas personas con habilidades técnicas acuñar coleccionables sin pagar y obtener ganancias de ello.
La raíz de esta vulnerabilidad radica en un defecto en el mecanismo de verificación de firmas de los usuarios en la lista blanca del contrato. En concreto, los diseñadores del contrato no se aseguraron de la exclusividad y el uso único de las firmas de la lista blanca. Por lo tanto, las personas familiarizadas con el mecanismo del contrato pueden reutilizar las firmas de otros usuarios en la lista blanca para acuñar coleccionables.
Se puede ver claramente el problema en el código del contrato. La función verify, al realizar la verificación de la firma, no incluye la dirección del iniciador de la transacción en el contenido de la firma. Al mismo tiempo, el contrato tampoco establece un mecanismo para garantizar que cada firma solo se use una vez. Estas deberían ser prácticas de seguridad básicas, son conocimientos de nivel inicial en el desarrollo de software.
Es sorprendente que una vulnerabilidad de seguridad tan obvia haya aparecido en un proyecto con tan alta notoriedad. Esto hace que uno se pregunte si el equipo del proyecto ha descuidado la auditoría de seguridad. Este caso vuelve a enfatizar la importancia de la seguridad en los proyectos de blockchain, especialmente en aquellos que involucran activos digitales.
Para los participantes de la industria blockchain, este evento ofrece valiosas lecciones. Nos recuerda que incluso las medidas de seguridad más básicas no deben ser pasadas por alto. Al mismo tiempo, también resalta la necesidad de realizar una auditoría de seguridad completa y profesional antes de lanzar cualquier contrato inteligente que involucre activos de los usuarios.
En el futuro, esperamos ver más proyectos que valoren la seguridad de los contratos y adopten medidas de seguridad más estrictas para proteger los intereses de los usuarios. Al mismo tiempo, esto también ha sonado la alarma para toda la industria, recordándonos que al perseguir la innovación, no debemos ignorar los principios de seguridad más básicos.