Recientemente, una cuestión de seguridad relacionada con los coleccionables digitales de una conocida liga deportiva ha llamado la atención de expertos de la industria. Tras un análisis exhaustivo, los expertos descubrieron que los contratos inteligentes utilizados por la liga para vender coleccionables digitales tienen una grave falla. Esta falla permite a los usuarios malintencionados acuñar coleccionables a costo cero y obtener beneficios indebidos a través de la venta.
La causa fundamental de esta vulnerabilidad de seguridad radica en un defecto en el mecanismo de verificación de firmas de usuarios en la lista blanca del contrato. En concreto, el contrato no logró asegurar la exclusividad y el uso único de las firmas de la lista blanca. Esto significa que un atacante puede reutilizar la firma de otros usuarios en la lista blanca para acuñar coleccionables, eludiendo así el proceso de verificación normal.
A través de la revisión del código del contrato, encontramos que la función verify presenta defectos evidentes en su diseño. Esta función no incluye la dirección del iniciador de la transacción en el proceso de verificación de firma, y tampoco implementa un mecanismo para prevenir la reutilización de firmas. Estas medidas de seguridad deberían ser conocimientos básicos en el desarrollo de contratos inteligentes, y su ausencia hace cuestionar la capacidad técnica del equipo del proyecto.
Como profesionales en el campo de blockchain, estamos sorprendidos de que una vulnerabilidad de seguridad tan básica aparezca en un proyecto de alta visibilidad. Esto no solo expone la negligencia del equipo del proyecto en cuanto a auditorías de seguridad, sino que también resalta que toda la industria aún tiene un largo camino por recorrer en la estandarización del desarrollo de contratos inteligentes y en la mejora de la conciencia de seguridad.
Este evento nos recuerda una vez más que, independientemente del tamaño del proyecto, la seguridad siempre debe ser la principal consideración en el proceso de desarrollo de aplicaciones de blockchain. Se recomienda que todas las partes interesadas refuercen la auditoría de seguridad de los contratos inteligentes, introduzcan instituciones profesionales de terceros para una evaluación integral y establezcan un proceso de pruebas de seguridad sólido para prevenir la recurrencia de vulnerabilidades similares.
Para los usuarios, este evento también ha sonado la alarma. Al participar en cualquier proyecto de blockchain, debemos mantener una actitud cautelosa, entender los riesgos potenciales y, cuando sea posible, realizar la investigación necesaria sobre la implementación técnica del proyecto. Solo con el esfuerzo conjunto de todo el ecosistema podremos construir un entorno de activos digitales más seguro y confiable.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
17 me gusta
Recompensa
17
8
Republicar
Compartir
Comentar
0/400
PumpDoctrine
· hace21h
Otra vez la Lista de permitidos haciendo de las suyas~
Ver originalesResponder0
MemecoinResearcher
· 08-11 07:58
ngmi familia... error de validación de firma novato fr fr
Ver originalesResponder0
DogeBachelor
· 08-09 19:04
Otra empresa ha fracasado antes de lanzarse.
Ver originalesResponder0
NFTFreezer
· 08-09 18:57
La lista de permitidos realmente se dio gratis.
Ver originalesResponder0
BlockTalk
· 08-09 18:55
Otra vez cupones de clip.
Ver originalesResponder0
BearMarketBuyer
· 08-09 18:54
¿Todavía están vendiendo NFT ahí? Si el contrato tiene vulnerabilidades y no cubre, quien compra se lleva la mala suerte.
Ver originalesResponder0
WinterWarmthCat
· 08-09 18:45
contratos inteligentes otra vez tienen un bug, duele verlo
Ver originalesResponder0
MEVSandwich
· 08-09 18:41
Otro proyecto ha sido aprovechado, ahora está realmente animado.
El contrato inteligente de coleccionables digitales de una conocida liga deportiva presenta una grave vulnerabilidad de seguridad.
Recientemente, una cuestión de seguridad relacionada con los coleccionables digitales de una conocida liga deportiva ha llamado la atención de expertos de la industria. Tras un análisis exhaustivo, los expertos descubrieron que los contratos inteligentes utilizados por la liga para vender coleccionables digitales tienen una grave falla. Esta falla permite a los usuarios malintencionados acuñar coleccionables a costo cero y obtener beneficios indebidos a través de la venta.
La causa fundamental de esta vulnerabilidad de seguridad radica en un defecto en el mecanismo de verificación de firmas de usuarios en la lista blanca del contrato. En concreto, el contrato no logró asegurar la exclusividad y el uso único de las firmas de la lista blanca. Esto significa que un atacante puede reutilizar la firma de otros usuarios en la lista blanca para acuñar coleccionables, eludiendo así el proceso de verificación normal.
A través de la revisión del código del contrato, encontramos que la función verify presenta defectos evidentes en su diseño. Esta función no incluye la dirección del iniciador de la transacción en el proceso de verificación de firma, y tampoco implementa un mecanismo para prevenir la reutilización de firmas. Estas medidas de seguridad deberían ser conocimientos básicos en el desarrollo de contratos inteligentes, y su ausencia hace cuestionar la capacidad técnica del equipo del proyecto.
Como profesionales en el campo de blockchain, estamos sorprendidos de que una vulnerabilidad de seguridad tan básica aparezca en un proyecto de alta visibilidad. Esto no solo expone la negligencia del equipo del proyecto en cuanto a auditorías de seguridad, sino que también resalta que toda la industria aún tiene un largo camino por recorrer en la estandarización del desarrollo de contratos inteligentes y en la mejora de la conciencia de seguridad.
Este evento nos recuerda una vez más que, independientemente del tamaño del proyecto, la seguridad siempre debe ser la principal consideración en el proceso de desarrollo de aplicaciones de blockchain. Se recomienda que todas las partes interesadas refuercen la auditoría de seguridad de los contratos inteligentes, introduzcan instituciones profesionales de terceros para una evaluación integral y establezcan un proceso de pruebas de seguridad sólido para prevenir la recurrencia de vulnerabilidades similares.
Para los usuarios, este evento también ha sonado la alarma. Al participar en cualquier proyecto de blockchain, debemos mantener una actitud cautelosa, entender los riesgos potenciales y, cuando sea posible, realizar la investigación necesaria sobre la implementación técnica del proyecto. Solo con el esfuerzo conjunto de todo el ecosistema podremos construir un entorno de activos digitales más seguro y confiable.