Récemment, une alliance sportive très médiatisée a lancé une série de collections numériques, suscitant beaucoup d'intérêt. Cependant, certains experts en sécurité ont découvert que le contrat de vente de cette série de collections numériques présentait de graves vulnérabilités. Cette faille permet à certaines personnes ayant des compétences techniques de minting des objets de collection sans payer, et d'en tirer profit.
La source de cette vulnérabilité réside dans un défaut du mécanisme de vérification des signatures des utilisateurs de la liste blanche par le contrat. Plus précisément, les concepteurs du contrat n'ont pas veillé à ce que les signatures de la liste blanche soient exclusives et à usage unique. Par conséquent, les personnes familières avec le mécanisme du contrat peuvent réutiliser les signatures d'autres utilisateurs de la liste blanche pour le minting de collections.
On peut clairement voir où se situe le problème dans le code du contrat. La fonction verify, lors de la vérification de la signature, n'inclut pas l'adresse de l'initiateur de la transaction dans le contenu de la signature. De plus, le contrat n'a pas mis en place de mécanisme pour garantir que chaque signature ne puisse être utilisée qu'une seule fois. Ce sont des pratiques de sécurité de base qui devraient faire partie des connaissances fondamentales en développement logiciel.
Il est surprenant qu'une vulnérabilité de sécurité aussi évidente soit apparue dans un projet d'une si grande notoriété. Cela amène à se demander si l'équipe du projet a négligé les audits de sécurité. Ce cas souligne une fois de plus l'importance de la sécurité dans les projets blockchain, en particulier ceux impliquant des actifs numériques.
Pour les participants de l'industrie de la blockchain, cet événement offre des leçons précieuses. Il nous rappelle que même les mesures de sécurité les plus fondamentales ne doivent pas être négligées. En même temps, cela souligne la nécessité de réaliser un audit de sécurité complet et professionnel avant de publier tout contrat intelligent impliquant des actifs des utilisateurs.
À l'avenir, nous espérons voir davantage de projets accorder de l'importance à la sécurité des contrats et adopter des mesures de sécurité plus strictes pour protéger les intérêts des utilisateurs. En même temps, cela sonne également l'alarme pour l'ensemble de l'industrie, nous rappelant qu'en poursuivant l'innovation, nous ne devons pas négliger les principes de sécurité les plus fondamentaux.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
8 J'aime
Récompense
8
5
Reposter
Partager
Commentaire
0/400
GhostWalletSleuth
· 08-06 03:57
Cette contrat est vraiment mauvais, qui l'a écrit ?
Voir l'originalRépondre0
GasWaster
· 08-04 06:21
fml... dépensé plus sur l'audit des txs échoués que sur de véritables audits smh
Voir l'originalRépondre0
DegenRecoveryGroup
· 08-04 06:08
Les développeurs de contrats intelligents débutants osent-ils se lancer dans de grands projets ?
Voir l'originalRépondre0
SorryRugPulled
· 08-04 05:50
Eh bien, la signature de l'Allowlist a une vulnérabilité, les investisseurs détaillants prennent les gens pour des idiots.
Une grave vulnérabilité des NFT des célèbres ligues sportives a été révélée, la minting gratuite suscite des inquiétudes en matière de sécurité.
Récemment, une alliance sportive très médiatisée a lancé une série de collections numériques, suscitant beaucoup d'intérêt. Cependant, certains experts en sécurité ont découvert que le contrat de vente de cette série de collections numériques présentait de graves vulnérabilités. Cette faille permet à certaines personnes ayant des compétences techniques de minting des objets de collection sans payer, et d'en tirer profit.
La source de cette vulnérabilité réside dans un défaut du mécanisme de vérification des signatures des utilisateurs de la liste blanche par le contrat. Plus précisément, les concepteurs du contrat n'ont pas veillé à ce que les signatures de la liste blanche soient exclusives et à usage unique. Par conséquent, les personnes familières avec le mécanisme du contrat peuvent réutiliser les signatures d'autres utilisateurs de la liste blanche pour le minting de collections.
On peut clairement voir où se situe le problème dans le code du contrat. La fonction verify, lors de la vérification de la signature, n'inclut pas l'adresse de l'initiateur de la transaction dans le contenu de la signature. De plus, le contrat n'a pas mis en place de mécanisme pour garantir que chaque signature ne puisse être utilisée qu'une seule fois. Ce sont des pratiques de sécurité de base qui devraient faire partie des connaissances fondamentales en développement logiciel.
Il est surprenant qu'une vulnérabilité de sécurité aussi évidente soit apparue dans un projet d'une si grande notoriété. Cela amène à se demander si l'équipe du projet a négligé les audits de sécurité. Ce cas souligne une fois de plus l'importance de la sécurité dans les projets blockchain, en particulier ceux impliquant des actifs numériques.
Pour les participants de l'industrie de la blockchain, cet événement offre des leçons précieuses. Il nous rappelle que même les mesures de sécurité les plus fondamentales ne doivent pas être négligées. En même temps, cela souligne la nécessité de réaliser un audit de sécurité complet et professionnel avant de publier tout contrat intelligent impliquant des actifs des utilisateurs.
À l'avenir, nous espérons voir davantage de projets accorder de l'importance à la sécurité des contrats et adopter des mesures de sécurité plus strictes pour protéger les intérêts des utilisateurs. En même temps, cela sonne également l'alarme pour l'ensemble de l'industrie, nous rappelant qu'en poursuivant l'innovation, nous ne devons pas négliger les principes de sécurité les plus fondamentaux.