Известный спортивный альянс имеет серьезные уязвимости в контракте на цифровые коллекционные предметы, что позволяет Хакерам бесплатно минтить и получать прибыль.
Недавно цифровая коллекция, выпущенная известным спортивным союзом, привлекла внимание специалистов по безопасности. Профессионалы, проверившие ее контракт на продажу, обнаружили серьезную уязвимость. Эта уязвимость позволяет технически подкованным людям создавать коллекционные предметы без каких-либо затрат и получать прибыль от этого.
!
Корень проблемы заключается в том, что механизм проверки подписи пользователей белого списка в контракте имеет недостатки. Конкретно, контракт не смог гарантировать уникальность и одноразовое использование подписей белого списка. Это означает, что потенциальные злоумышленники могут повторно использовать подписи других пользователей белого списка для чеканки коллекционных предметов.
С технической точки зрения, в дизайне функции verify присутствуют явные недостатки, так как адрес отправителя не включен в процесс проверки подписи. Более того, в контракте также не предусмотрен механизм, который гарантировал бы, что каждая подпись может быть использована только один раз. Эти меры, которые должны быть основными для обеспечения безопасности программного обеспечения, были проигнорированы в этом громком проекте.
!
Эксперты по безопасности были удивлены этим и считают, что такие основные практики безопасности должны быть неотъемлемой частью любого процесса разработки блокчейн-проекта. Они подчеркивают, что даже известные проекты не могут игнорировать самые основные шаги по аудиту безопасности.
Это событие вновь подчеркивает важность безопасности в области блокчейна и цифровых активов. Для разработчиков и инвесторов, участвующих в таких проектах, повышение осведомленности о безопасности и проведение комплексного аудита безопасности станут одним из ключевых факторов успеха проектов в будущем.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
8 Лайков
Награда
8
7
Поделиться
комментарий
0/400
BridgeJumper
· 20ч назад
Просто наспех запустили?
Посмотреть ОригиналОтветить0
SatoshiLegend
· 20ч назад
С точки зрения исходного кода история всегда повторяется
Посмотреть ОригиналОтветить0
DaoGovernanceOfficer
· 20ч назад
*вздох* еще один протокол, пропускающий основные меры безопасности... предсказуемо, если честно
Посмотреть ОригиналОтветить0
MissingSats
· 20ч назад
Снова повторная атака разрешенного списка. Безопасность все еще слишком слабая.
Посмотреть ОригиналОтветить0
ClassicDumpster
· 21ч назад
Этот баг действительно хорош На луну
Посмотреть ОригиналОтветить0
DaoDeveloper
· 21ч назад
smh... базовая проверка повторного входа поймала бы это
Посмотреть ОригиналОтветить0
ApeWithAPlan
· 21ч назад
Такое большое уязвимое место в контракте, как это прошло соответствие?
Известный спортивный альянс имеет серьезные уязвимости в контракте на цифровые коллекционные предметы, что позволяет Хакерам бесплатно минтить и получать прибыль.
Недавно цифровая коллекция, выпущенная известным спортивным союзом, привлекла внимание специалистов по безопасности. Профессионалы, проверившие ее контракт на продажу, обнаружили серьезную уязвимость. Эта уязвимость позволяет технически подкованным людям создавать коллекционные предметы без каких-либо затрат и получать прибыль от этого.
!
Корень проблемы заключается в том, что механизм проверки подписи пользователей белого списка в контракте имеет недостатки. Конкретно, контракт не смог гарантировать уникальность и одноразовое использование подписей белого списка. Это означает, что потенциальные злоумышленники могут повторно использовать подписи других пользователей белого списка для чеканки коллекционных предметов.
С технической точки зрения, в дизайне функции verify присутствуют явные недостатки, так как адрес отправителя не включен в процесс проверки подписи. Более того, в контракте также не предусмотрен механизм, который гарантировал бы, что каждая подпись может быть использована только один раз. Эти меры, которые должны быть основными для обеспечения безопасности программного обеспечения, были проигнорированы в этом громком проекте.
!
Эксперты по безопасности были удивлены этим и считают, что такие основные практики безопасности должны быть неотъемлемой частью любого процесса разработки блокчейн-проекта. Они подчеркивают, что даже известные проекты не могут игнорировать самые основные шаги по аудиту безопасности.
Это событие вновь подчеркивает важность безопасности в области блокчейна и цифровых активов. Для разработчиков и инвесторов, участвующих в таких проектах, повышение осведомленности о безопасности и проведение комплексного аудита безопасности станут одним из ключевых факторов успеха проектов в будущем.