Важная уязвимость цифровых коллекционных предметов известного спортивного альянса была раскрыта, бесплатный минтинг вызвал опасения по поводу безопасности.
В последнее время одна из известных спортивных лиг выпустила серию цифровых коллекционных предметов, что привлекло немало внимания. Тем не менее, некоторые эксперты по безопасности обнаружили серьезные уязвимости в контрактах на продажу этой серии цифровых коллекционных предметов. Эта уязвимость позволяет некоторым технически подкованным людям хитроумным способом минтить коллекционные предметы без оплаты и извлекать из этого выгоду.
Корень этой уязвимости заключается в том, что механизм проверки подписей пользователей из белого списка в контракте имеет недостатки. Конкретно, разработчики контракта не обеспечили эксклюзивность подписей белого списка и их однократное использование. Таким образом, знакомые с механизмом контракта могут повторно использовать подписи других пользователей из белого списка для минтинга коллекционных предметов.
Из кода контракта можно четко увидеть, в чем проблема. Функция verify при выполнении проверки подписи не включает адрес инициатора транзакции в содержимое подписи. В то же время контракт не установил механизма, который гарантировал бы, что каждая подпись может использоваться только один раз. Эти вещи должны быть основными практиками безопасности, это базовые знания в разработке программного обеспечения.
!
Удивительно, что такая очевидная уязвимость безопасности появилась в проекте с такой высокой известностью. Это вызывает сомнения в том, уделяет ли команда проекта достаточно внимания вопросам безопасности. Этот случай снова подчеркивает важность безопасности в блокчейн-проектах, особенно в тех, которые связаны с цифровыми активами.
Для участников рынка блокчейн это событие предоставило ценные уроки. Оно напоминает нам, что даже самые базовые меры безопасности нельзя игнорировать. В то же время это подчеркивает необходимость проведения всестороннего и профессионального аудита безопасности перед публикацией любых смарт-контрактов, касающихся активов пользователей.
В будущем мы надеемся увидеть, что больше проектов уделяют внимание безопасности контрактов и принимают более строгие меры безопасности для защиты интересов пользователей. В то же время это также бьет тревогу для всей отрасли, напоминая нам, что при стремлении к инновациям не следует игнорировать самые основные принципы безопасности.
!
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
8 Лайков
Награда
8
5
Репост
Поделиться
комментарий
0/400
GhostWalletSleuth
· 08-06 03:57
Это полный провал, кто написал этот контракт?
Посмотреть ОригиналОтветить0
GasWaster
· 08-04 06:21
черт возьми... потратили больше на аудит неудачных транзакций, чем на реальные аудиты, смх
Посмотреть ОригиналОтветить0
DegenRecoveryGroup
· 08-04 06:08
Новички в разработке контрактов все еще осмеливаются браться за большие проекты
Посмотреть ОригиналОтветить0
SorryRugPulled
· 08-04 05:50
啧 Разрешенный список подписей имеет уязвимость розничный инвестор разыгрывайте людей как лохов
Важная уязвимость цифровых коллекционных предметов известного спортивного альянса была раскрыта, бесплатный минтинг вызвал опасения по поводу безопасности.
В последнее время одна из известных спортивных лиг выпустила серию цифровых коллекционных предметов, что привлекло немало внимания. Тем не менее, некоторые эксперты по безопасности обнаружили серьезные уязвимости в контрактах на продажу этой серии цифровых коллекционных предметов. Эта уязвимость позволяет некоторым технически подкованным людям хитроумным способом минтить коллекционные предметы без оплаты и извлекать из этого выгоду.
Корень этой уязвимости заключается в том, что механизм проверки подписей пользователей из белого списка в контракте имеет недостатки. Конкретно, разработчики контракта не обеспечили эксклюзивность подписей белого списка и их однократное использование. Таким образом, знакомые с механизмом контракта могут повторно использовать подписи других пользователей из белого списка для минтинга коллекционных предметов.
Из кода контракта можно четко увидеть, в чем проблема. Функция verify при выполнении проверки подписи не включает адрес инициатора транзакции в содержимое подписи. В то же время контракт не установил механизма, который гарантировал бы, что каждая подпись может использоваться только один раз. Эти вещи должны быть основными практиками безопасности, это базовые знания в разработке программного обеспечения.
!
Удивительно, что такая очевидная уязвимость безопасности появилась в проекте с такой высокой известностью. Это вызывает сомнения в том, уделяет ли команда проекта достаточно внимания вопросам безопасности. Этот случай снова подчеркивает важность безопасности в блокчейн-проектах, особенно в тех, которые связаны с цифровыми активами.
Для участников рынка блокчейн это событие предоставило ценные уроки. Оно напоминает нам, что даже самые базовые меры безопасности нельзя игнорировать. В то же время это подчеркивает необходимость проведения всестороннего и профессионального аудита безопасности перед публикацией любых смарт-контрактов, касающихся активов пользователей.
В будущем мы надеемся увидеть, что больше проектов уделяют внимание безопасности контрактов и принимают более строгие меры безопасности для защиты интересов пользователей. В то же время это также бьет тревогу для всей отрасли, напоминая нам, что при стремлении к инновациям не следует игнорировать самые основные принципы безопасности.
!