Vazamento de uma grande vulnerabilidade em colecionáveis digitais de uma famosa liga esportiva gera preocupações de segurança sobre a cunhagem gratuita.
Recentemente, uma liga desportiva muito notável lançou uma série de colecionáveis digitais, atraindo bastante atenção. No entanto, alguns especialistas em segurança descobriram que o contrato de venda dessa série de colecionáveis digitais apresenta sérias vulnerabilidades. Essa vulnerabilidade permite que algumas pessoas com conhecimentos técnicos consigam, por meio de métodos astutos, cunhar colecionáveis sem pagar e lucrar com isso.
A origem desta vulnerabilidade reside na falha do mecanismo de verificação de assinatura dos usuários na lista branca pelo contrato. Especificamente, os projetistas do contrato não garantiram a exclusividade e o uso único das assinaturas da lista branca. Assim, pessoas familiarizadas com o mecanismo do contrato podem reutilizar as assinaturas de outros usuários da lista branca para cunhar colecionáveis.
A partir do código do contrato, é possível identificar claramente onde está o problema. A função verify, ao realizar a verificação de assinatura, não inclui o endereço do iniciador da transação no conteúdo da assinatura. Ao mesmo tempo, o contrato também não implementa um mecanismo para garantir que cada assinatura só possa ser utilizada uma vez. Estas deveriam ser práticas de segurança básicas, conhecimentos de nível iniciante no desenvolvimento de software.
É surpreendente que uma vulnerabilidade de segurança tão óbvia tenha surgido em um projeto com tanta notoriedade. Isso leva a questionar se a equipe do projeto foi negligente nas auditorias de segurança. Este caso ressalta novamente a importância da segurança em projetos de blockchain, especialmente aqueles que envolvem ativos digitais.
Para os participantes da indústria de blockchain, este evento oferece lições valiosas. Ele nos lembra que até mesmo as medidas de segurança mais básicas não devem ser ignoradas. Ao mesmo tempo, isso também destaca a necessidade de realizar uma auditoria de segurança abrangente e profissional antes de lançar qualquer contrato inteligente que envolva ativos dos usuários.
No futuro, esperamos ver mais projetos a darem importância à segurança dos contratos, adotando medidas de segurança mais rigorosas para proteger os interesses dos usuários. Ao mesmo tempo, isso também serve como um alerta para toda a indústria, lembrando-nos que, ao buscar inovação, não devemos ignorar os princípios básicos de segurança.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
8 gostos
Recompensa
8
5
Republicar
Partilhar
Comentar
0/400
GhostWalletSleuth
· 08-06 03:57
Que contrato tão mal feito, quem o escreveu?
Ver originalResponder0
GasWaster
· 08-04 06:21
fml... gastei mais na auditoria de txs falhados do que em auditorias reais smh
Ver originalResponder0
DegenRecoveryGroup
· 08-04 06:08
Os novatos em desenvolvimento de contratos ainda ousam entrar em grandes projetos.
Ver originalResponder0
SorryRugPulled
· 08-04 05:50
啧 Lista de permissões assinado tem falhas investidor de retalho fazer as pessoas de parvas
Vazamento de uma grande vulnerabilidade em colecionáveis digitais de uma famosa liga esportiva gera preocupações de segurança sobre a cunhagem gratuita.
Recentemente, uma liga desportiva muito notável lançou uma série de colecionáveis digitais, atraindo bastante atenção. No entanto, alguns especialistas em segurança descobriram que o contrato de venda dessa série de colecionáveis digitais apresenta sérias vulnerabilidades. Essa vulnerabilidade permite que algumas pessoas com conhecimentos técnicos consigam, por meio de métodos astutos, cunhar colecionáveis sem pagar e lucrar com isso.
A origem desta vulnerabilidade reside na falha do mecanismo de verificação de assinatura dos usuários na lista branca pelo contrato. Especificamente, os projetistas do contrato não garantiram a exclusividade e o uso único das assinaturas da lista branca. Assim, pessoas familiarizadas com o mecanismo do contrato podem reutilizar as assinaturas de outros usuários da lista branca para cunhar colecionáveis.
A partir do código do contrato, é possível identificar claramente onde está o problema. A função verify, ao realizar a verificação de assinatura, não inclui o endereço do iniciador da transação no conteúdo da assinatura. Ao mesmo tempo, o contrato também não implementa um mecanismo para garantir que cada assinatura só possa ser utilizada uma vez. Estas deveriam ser práticas de segurança básicas, conhecimentos de nível iniciante no desenvolvimento de software.
É surpreendente que uma vulnerabilidade de segurança tão óbvia tenha surgido em um projeto com tanta notoriedade. Isso leva a questionar se a equipe do projeto foi negligente nas auditorias de segurança. Este caso ressalta novamente a importância da segurança em projetos de blockchain, especialmente aqueles que envolvem ativos digitais.
Para os participantes da indústria de blockchain, este evento oferece lições valiosas. Ele nos lembra que até mesmo as medidas de segurança mais básicas não devem ser ignoradas. Ao mesmo tempo, isso também destaca a necessidade de realizar uma auditoria de segurança abrangente e profissional antes de lançar qualquer contrato inteligente que envolva ativos dos usuários.
No futuro, esperamos ver mais projetos a darem importância à segurança dos contratos, adotando medidas de segurança mais rigorosas para proteger os interesses dos usuários. Ao mesmo tempo, isso também serve como um alerta para toda a indústria, lembrando-nos que, ao buscar inovação, não devemos ignorar os princípios básicos de segurança.