Recentemente, uma questão de segurança envolvendo colecionáveis digitais de uma famosa liga desportiva chamou a atenção de especialistas da indústria. Após uma análise aprofundada, os especialistas descobriram que os contratos inteligentes usados pela liga para vender colecionáveis digitais apresentavam uma vulnerabilidade grave. Essa vulnerabilidade permitiu que usuários mal-intencionados cunhassem colecionáveis a custo zero e obtivessem ganhos indevidos através da venda.
A causa fundamental desta vulnerabilidade de segurança reside na falha do mecanismo de verificação de assinatura dos usuários da lista branca no contrato. Especificamente, o contrato não conseguiu garantir a exclusividade e o uso único da assinatura da lista branca. Isso significa que os atacantes podem reutilizar a assinatura de outros usuários da lista branca para cunhar colecionáveis, contornando assim o processo normal de validação.
Através da revisão do código do contrato, descobrimos que a função verify apresenta falhas de design evidentes. Esta função não incluiu o endereço do iniciador da transação no processo de verificação da assinatura, e também não implementou um mecanismo para prevenir a reutilização da assinatura. Essas medidas de segurança deveriam ser um conhecimento básico no desenvolvimento de contratos inteligentes, e a sua ausência levanta dúvidas sobre a capacidade técnica da equipe do projeto.
Como profissionais da área de blockchain, estamos chocados com a ocorrência de tais vulnerabilidades de segurança básicas em projetos de alta notoriedade. Isso não apenas expõe a negligência da equipe do projeto em relação às auditorias de segurança, mas também destaca que toda a indústria ainda tem um longo caminho a percorrer na padronização do desenvolvimento de contratos inteligentes e na conscientização sobre segurança.
Este evento serve novamente para nos lembrar que, independentemente da escala do projeto, a segurança deve sempre ser a principal consideração no processo de desenvolvimento de aplicações em blockchain. Recomenda-se que todas as partes envolvidas reforcem a auditoria de segurança dos contratos inteligentes, introduzam instituições profissionais de terceiros para uma avaliação abrangente e estabeleçam um processo de teste de segurança robusto, a fim de evitar a ocorrência de vulnerabilidades semelhantes.
Para os usuários, este evento também soou como um alerta. Ao participar de qualquer projeto de blockchain, devemos manter uma atitude cautelosa, entender os riscos potenciais e, sempre que possível, realizar a investigação necessária sobre a implementação técnica do projeto. Somente com o esforço conjunto de todo o ecossistema podemos construir um ambiente de ativos digitais mais seguro e confiável.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
17 gostos
Recompensa
17
8
Republicar
Partilhar
Comentar
0/400
PumpDoctrine
· 08-12 17:01
Outra vez a Lista de permissões a fazer das suas~
Ver originalResponder0
MemecoinResearcher
· 08-11 07:58
ngmi família... erro de validação de sig de novato fr fr
Ver originalResponder0
DogeBachelor
· 08-09 19:04
Mais uma falha, e ainda não foi lançada.
Ver originalResponder0
NFTFreezer
· 08-09 18:57
Lista de permissões realmente foi dada de graça.
Ver originalResponder0
BlockTalk
· 08-09 18:55
又来Cupões de Recorte了
Ver originalResponder0
BearMarketBuyer
· 08-09 18:54
Ainda está a vender NFTs, quem comprar fica mal se houver falhas no contrato.
Ver originalResponder0
WinterWarmthCat
· 08-09 18:45
contratos inteligentes novamente com bug, dá até dor no coração de ver.
Ver originalResponder0
MEVSandwich
· 08-09 18:41
Mais um projeto foi explorado. Agora está realmente agitado.
Contratos inteligentes de colecionáveis digitais de uma conhecida liga esportiva agora apresentam uma grave vulnerabilidade de segurança.
Recentemente, uma questão de segurança envolvendo colecionáveis digitais de uma famosa liga desportiva chamou a atenção de especialistas da indústria. Após uma análise aprofundada, os especialistas descobriram que os contratos inteligentes usados pela liga para vender colecionáveis digitais apresentavam uma vulnerabilidade grave. Essa vulnerabilidade permitiu que usuários mal-intencionados cunhassem colecionáveis a custo zero e obtivessem ganhos indevidos através da venda.
A causa fundamental desta vulnerabilidade de segurança reside na falha do mecanismo de verificação de assinatura dos usuários da lista branca no contrato. Especificamente, o contrato não conseguiu garantir a exclusividade e o uso único da assinatura da lista branca. Isso significa que os atacantes podem reutilizar a assinatura de outros usuários da lista branca para cunhar colecionáveis, contornando assim o processo normal de validação.
Através da revisão do código do contrato, descobrimos que a função verify apresenta falhas de design evidentes. Esta função não incluiu o endereço do iniciador da transação no processo de verificação da assinatura, e também não implementou um mecanismo para prevenir a reutilização da assinatura. Essas medidas de segurança deveriam ser um conhecimento básico no desenvolvimento de contratos inteligentes, e a sua ausência levanta dúvidas sobre a capacidade técnica da equipe do projeto.
Como profissionais da área de blockchain, estamos chocados com a ocorrência de tais vulnerabilidades de segurança básicas em projetos de alta notoriedade. Isso não apenas expõe a negligência da equipe do projeto em relação às auditorias de segurança, mas também destaca que toda a indústria ainda tem um longo caminho a percorrer na padronização do desenvolvimento de contratos inteligentes e na conscientização sobre segurança.
Este evento serve novamente para nos lembrar que, independentemente da escala do projeto, a segurança deve sempre ser a principal consideração no processo de desenvolvimento de aplicações em blockchain. Recomenda-se que todas as partes envolvidas reforcem a auditoria de segurança dos contratos inteligentes, introduzam instituições profissionais de terceiros para uma avaliação abrangente e estabeleçam um processo de teste de segurança robusto, a fim de evitar a ocorrência de vulnerabilidades semelhantes.
Para os usuários, este evento também soou como um alerta. Ao participar de qualquer projeto de blockchain, devemos manter uma atitude cautelosa, entender os riscos potenciais e, sempre que possível, realizar a investigação necessária sobre a implementação técnica do projeto. Somente com o esforço conjunto de todo o ecossistema podemos construir um ambiente de ativos digitais mais seguro e confiável.