Un contrat de collection numérique d'une célèbre ligue sportive présente de graves vulnérabilités, permettant à des Hackers de minting gratuitement pour en tirer profit.
Récemment, un bien numérique lancé par une célèbre ligue sportive a attiré l'attention des experts en sécurité. Après avoir examiné son contrat de vente, des professionnels ont découvert une grave vulnérabilité de sécurité. Cette faille permet à des individus techniquement compétents de créer des biens sans payer aucun frais et d'en tirer profit.
La racine du problème réside dans le mécanisme de vérification des signatures des utilisateurs sur la liste blanche dans le contrat. Plus précisément, le contrat n'a pas réussi à garantir l'exclusivité et l'utilisation unique des signatures de la liste blanche. Cela signifie que des attaquants potentiels peuvent réutiliser les signatures d'autres utilisateurs de la liste blanche pour frapper des objets de collection.
D'un point de vue technique, la conception de la fonction verify présente des défauts évidents, n'incluant pas l'adresse de l'expéditeur dans le processus de vérification de la signature. Il est encore plus préoccupant qu'aucun mécanisme n'ait été mis en place dans le contrat pour garantir que chaque signature ne puisse être utilisée qu'une seule fois. Ces mesures de sécurité logicielle de base, qui devraient être fondamentales, ont été négligées dans ce projet très médiatisé.
Les experts en sécurité ont été surpris par cela, estimant que de telles pratiques de sécurité de base devraient faire partie intégrante de tout processus de développement de projet blockchain. Ils soulignent que même les projets les plus connus ne doivent pas négliger les étapes de vérification de sécurité les plus fondamentales.
Cet événement souligne à nouveau que l'importance de la sécurité dans le domaine de la blockchain et des actifs numériques ne doit pas être négligée. Pour les développeurs et les investisseurs participant à de tels projets, renforcer la sensibilisation à la sécurité et effectuer des audits de sécurité complets sera l'un des facteurs clés du succès des projets futurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
8 J'aime
Récompense
8
7
Partager
Commentaire
0/400
BridgeJumper
· Il y a 20h
On lance sans vraiment s'en soucier ?
Voir l'originalRépondre0
SatoshiLegend
· Il y a 20h
D'un point de vue du code source, l'histoire se répète toujours.
Voir l'originalRépondre0
DaoGovernanceOfficer
· Il y a 20h
*sigh* encore un protocole qui omet des mesures de sécurité de base... prévisible honnêtement
Voir l'originalRépondre0
MissingSats
· Il y a 20h
Encore une attaque par répétition sur l'allowlist, la sécurité est toujours trop faible.
Voir l'originalRépondre0
ClassicDumpster
· Il y a 21h
Ce bug est vraiment bon To the moon
Voir l'originalRépondre0
DaoDeveloper
· Il y a 21h
smh... un contrôle de réentrance de base aurait attrapé ça
Voir l'originalRépondre0
ApeWithAPlan
· Il y a 21h
Un tel trou dans le contrat, comment cette conformité a-t-elle pu passer l'audit ?
Un contrat de collection numérique d'une célèbre ligue sportive présente de graves vulnérabilités, permettant à des Hackers de minting gratuitement pour en tirer profit.
Récemment, un bien numérique lancé par une célèbre ligue sportive a attiré l'attention des experts en sécurité. Après avoir examiné son contrat de vente, des professionnels ont découvert une grave vulnérabilité de sécurité. Cette faille permet à des individus techniquement compétents de créer des biens sans payer aucun frais et d'en tirer profit.
La racine du problème réside dans le mécanisme de vérification des signatures des utilisateurs sur la liste blanche dans le contrat. Plus précisément, le contrat n'a pas réussi à garantir l'exclusivité et l'utilisation unique des signatures de la liste blanche. Cela signifie que des attaquants potentiels peuvent réutiliser les signatures d'autres utilisateurs de la liste blanche pour frapper des objets de collection.
D'un point de vue technique, la conception de la fonction verify présente des défauts évidents, n'incluant pas l'adresse de l'expéditeur dans le processus de vérification de la signature. Il est encore plus préoccupant qu'aucun mécanisme n'ait été mis en place dans le contrat pour garantir que chaque signature ne puisse être utilisée qu'une seule fois. Ces mesures de sécurité logicielle de base, qui devraient être fondamentales, ont été négligées dans ce projet très médiatisé.
Les experts en sécurité ont été surpris par cela, estimant que de telles pratiques de sécurité de base devraient faire partie intégrante de tout processus de développement de projet blockchain. Ils soulignent que même les projets les plus connus ne doivent pas négliger les étapes de vérification de sécurité les plus fondamentales.
Cet événement souligne à nouveau que l'importance de la sécurité dans le domaine de la blockchain et des actifs numériques ne doit pas être négligée. Pour les développeurs et les investisseurs participant à de tels projets, renforcer la sensibilisation à la sécurité et effectuer des audits de sécurité complets sera l'un des facteurs clés du succès des projets futurs.