Recentemente, uma vulnerabilidade de segurança relacionada a colecionáveis digitais de uma conhecida liga esportiva chamou a atenção da indústria. Especialistas em segurança descobriram que os contratos inteligentes usados pela liga para vender colecionáveis digitais possuem uma falha significativa, permitindo que potenciais atacantes possam cunhar colecionáveis sem custo e lucrar com isso.
A origem desta vulnerabilidade reside no problema do mecanismo de verificação das assinaturas dos usuários da lista branca no contrato. Especificamente, o contrato não conseguiu garantir a exclusividade e o uso único das assinaturas da lista branca. Isso significa que um atacante pode reutilizar as assinaturas de outros usuários da lista branca para cunhar colecionáveis.
Através da análise do código do contrato, os especialistas apontaram dois problemas chave: primeiro, a função verify não inclui o endereço do remetente durante o processo de verificação da assinatura; em segundo lugar, falta um mecanismo para evitar que a assinatura seja usada várias vezes. Estes são considerados práticas básicas de segurança de software e devem ser levados em conta durante o processo de desenvolvimento.
Os especialistas em segurança expressaram choque pela aparição de vulnerabilidades tão básicas em projetos de alta visibilidade. Eles enfatizam que esse tipo de falha de segurança não só ameaça o próprio projeto, mas também pode ter um impacto negativo na reputação de todo o mercado de colecionáveis digitais.
Este evento destaca novamente a importância de realizar auditorias de segurança abrangentes no desenvolvimento de projetos de blockchain, especialmente aqueles que envolvem contratos inteligentes em transações financeiras. Também serve como um lembrete para os projetos e desenvolvedores estarem sempre atentos, pois mesmo funcionalidades que parecem simples podem esconder riscos de segurança significativos.
Os especialistas da indústria apelam que, com o rápido desenvolvimento do mercado de colecionáveis digitais, os projetos relacionados devem dar mais atenção à segurança, adotando processos rigorosos de revisão e teste de código, para proteger os interesses dos usuários e manter o desenvolvimento saudável a longo prazo da indústria.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
21 Curtidas
Recompensa
21
5
Repostar
Compartilhar
Comentário
0/400
AirdropGrandpa
· 08-05 18:39
Outro projeto de front-end que não testou a segurança
Ver originalResponder0
RugPullAlarm
· 08-04 17:31
Mais um projeto de terceira linha que nem verifica o Endereço. Olhei os dados na cadeia e pelo menos 33w de ativos estão em risco.
Ver originalResponder0
MemeEchoer
· 08-04 13:16
Andar na rua é pisar em buracos, não é?
Ver originalResponder0
DegenDreamer
· 08-03 00:36
Mais um que se aventurou a escrever contratos inteligentes?
Uma grave vulnerabilidade de segurança permite que os contratos inteligentes de colecionáveis digitais sejam atacados sem custo.
Recentemente, uma vulnerabilidade de segurança relacionada a colecionáveis digitais de uma conhecida liga esportiva chamou a atenção da indústria. Especialistas em segurança descobriram que os contratos inteligentes usados pela liga para vender colecionáveis digitais possuem uma falha significativa, permitindo que potenciais atacantes possam cunhar colecionáveis sem custo e lucrar com isso.
A origem desta vulnerabilidade reside no problema do mecanismo de verificação das assinaturas dos usuários da lista branca no contrato. Especificamente, o contrato não conseguiu garantir a exclusividade e o uso único das assinaturas da lista branca. Isso significa que um atacante pode reutilizar as assinaturas de outros usuários da lista branca para cunhar colecionáveis.
Através da análise do código do contrato, os especialistas apontaram dois problemas chave: primeiro, a função verify não inclui o endereço do remetente durante o processo de verificação da assinatura; em segundo lugar, falta um mecanismo para evitar que a assinatura seja usada várias vezes. Estes são considerados práticas básicas de segurança de software e devem ser levados em conta durante o processo de desenvolvimento.
Os especialistas em segurança expressaram choque pela aparição de vulnerabilidades tão básicas em projetos de alta visibilidade. Eles enfatizam que esse tipo de falha de segurança não só ameaça o próprio projeto, mas também pode ter um impacto negativo na reputação de todo o mercado de colecionáveis digitais.
Este evento destaca novamente a importância de realizar auditorias de segurança abrangentes no desenvolvimento de projetos de blockchain, especialmente aqueles que envolvem contratos inteligentes em transações financeiras. Também serve como um lembrete para os projetos e desenvolvedores estarem sempre atentos, pois mesmo funcionalidades que parecem simples podem esconder riscos de segurança significativos.
Os especialistas da indústria apelam que, com o rápido desenvolvimento do mercado de colecionáveis digitais, os projetos relacionados devem dar mais atenção à segurança, adotando processos rigorosos de revisão e teste de código, para proteger os interesses dos usuários e manter o desenvolvimento saudável a longo prazo da indústria.