O contrato de colecionáveis digitais da NBA apresenta uma vulnerabilidade significativa. A verificação de assinatura da lista de permissões tem falhas.
A NBA lançou recentemente colecionáveis digitais, mas o que preocupa é que existem falhas significativas nos contratos de venda. Pesquisadores de segurança descobriram que usuários mal-intencionados podem explorar essa falha para cunhar colecionáveis sem pagar qualquer taxa e obter benefícios indevidos por meio da venda.
A origem deste risco de segurança está na falha do mecanismo de verificação da assinatura de usuários na lista branca pelo contrato. Especificamente, o contrato não consegue garantir que as assinaturas da lista branca sejam utilizadas apenas por usuários específicos e que cada assinatura só possa ser utilizada uma vez. Isso permite que atacantes reutilizem as assinaturas de outros usuários da lista branca para cunhar colecionáveis.
A partir da análise do código do contrato, é evidente que a função verify não inclui o endereço do iniciador da transação no conteúdo da assinatura ao validar a assinatura. Além disso, o contrato também não implementou um mecanismo para evitar a reutilização de assinaturas. Essas medidas de segurança deveriam ser conhecimentos básicos no desenvolvimento de software, mas foram ignoradas em um projeto tão renomado, o que é inacreditável.
Este evento destaca que, no processo de desenvolvimento de projetos de blockchain, até mesmo grandes organizações podem ignorar práticas básicas de segurança. Lembra-nos que, ao projetar contratos inteligentes, é necessário ter um cuidado especial com os detalhes de segurança, especialmente ao lidar com permissões de usuários e validação de transações. Ao mesmo tempo, também enfatiza a importância de realizar uma auditoria de segurança abrangente e profissional antes do lançamento do projeto, a fim de evitar que vulnerabilidades semelhantes causem perdas potenciais para os usuários e para o projeto.
Para os participantes da indústria de blockchain, este caso é um aviso: independentemente da escala do projeto, não se pode ignorar os princípios básicos de segurança. A equipe de desenvolvimento deve continuar a aprender e atualizar seu conhecimento em segurança, e realizar rigorosas verificações de segurança em todas as fases do projeto. Ao mesmo tempo, os usuários devem permanecer vigilantes ao participar de qualquer projeto de blockchain, compreender os riscos potenciais e escolher plataformas que tenham passado por auditorias de segurança rigorosas para interagir.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
9 Curtidas
Recompensa
9
8
Compartilhar
Comentário
0/400
OnchainFortuneTeller
· 07-27 01:03
Lista de permissões não verifica a assinatura. Esta inteligência é preocupante.
Ver originalResponder0
RugPullAlarm
· 07-26 15:17
Este dinheiro acabará por fluir para o tornado misturador de moedas, certamente haverá grandes acontecimentos.
Ver originalResponder0
WhaleWatcher
· 07-24 17:47
Este QI pagou imposto sobre o QI.
Ver originalResponder0
CodeAuditQueen
· 07-24 06:13
A velha conversa sobre a repetição de assinaturas voltou. Estão todos a dormir durante a revisão?
Ver originalResponder0
AirdropSweaterFan
· 07-24 06:06
Não sabe escrever um mecanismo de assinatura? É um novato, confirmado.
Ver originalResponder0
AirdropChaser
· 07-24 05:56
Ele ainda quer ganhar meu dinheiro? A armadilha foi vista por mim.
Ver originalResponder0
ChainWatcher
· 07-24 05:51
Os contratos não são auditados antes? É absurdo, não é?
Ver originalResponder0
RetailTherapist
· 07-24 05:49
Um projeto tão grande também foi explorado, que raio!
O contrato de colecionáveis digitais da NBA apresenta uma vulnerabilidade significativa. A verificação de assinatura da lista de permissões tem falhas.
A NBA lançou recentemente colecionáveis digitais, mas o que preocupa é que existem falhas significativas nos contratos de venda. Pesquisadores de segurança descobriram que usuários mal-intencionados podem explorar essa falha para cunhar colecionáveis sem pagar qualquer taxa e obter benefícios indevidos por meio da venda.
A origem deste risco de segurança está na falha do mecanismo de verificação da assinatura de usuários na lista branca pelo contrato. Especificamente, o contrato não consegue garantir que as assinaturas da lista branca sejam utilizadas apenas por usuários específicos e que cada assinatura só possa ser utilizada uma vez. Isso permite que atacantes reutilizem as assinaturas de outros usuários da lista branca para cunhar colecionáveis.
A partir da análise do código do contrato, é evidente que a função verify não inclui o endereço do iniciador da transação no conteúdo da assinatura ao validar a assinatura. Além disso, o contrato também não implementou um mecanismo para evitar a reutilização de assinaturas. Essas medidas de segurança deveriam ser conhecimentos básicos no desenvolvimento de software, mas foram ignoradas em um projeto tão renomado, o que é inacreditável.
Este evento destaca que, no processo de desenvolvimento de projetos de blockchain, até mesmo grandes organizações podem ignorar práticas básicas de segurança. Lembra-nos que, ao projetar contratos inteligentes, é necessário ter um cuidado especial com os detalhes de segurança, especialmente ao lidar com permissões de usuários e validação de transações. Ao mesmo tempo, também enfatiza a importância de realizar uma auditoria de segurança abrangente e profissional antes do lançamento do projeto, a fim de evitar que vulnerabilidades semelhantes causem perdas potenciais para os usuários e para o projeto.
Para os participantes da indústria de blockchain, este caso é um aviso: independentemente da escala do projeto, não se pode ignorar os princípios básicos de segurança. A equipe de desenvolvimento deve continuar a aprender e atualizar seu conhecimento em segurança, e realizar rigorosas verificações de segurança em todas as fases do projeto. Ao mesmo tempo, os usuários devem permanecer vigilantes ao participar de qualquer projeto de blockchain, compreender os riscos potenciais e escolher plataformas que tenham passado por auditorias de segurança rigorosas para interagir.