Récemment, une préoccupation concernant une vulnérabilité de sécurité des collections numériques d'une célèbre ligue sportive a attiré l'attention des experts du secteur. Après une analyse approfondie, les experts ont découvert que les contrats intelligents utilisés par la ligue pour vendre des collections numériques présentaient des failles graves. Cette vulnérabilité permet à des utilisateurs malveillants de minting des articles à coût zéro et d'en tirer des bénéfices indus par la vente.
La cause fondamentale de cette vulnérabilité de sécurité réside dans le mécanisme de vérification des signatures des utilisateurs de la liste blanche dans le contrat. Plus précisément, le contrat n'a pas réussi à assurer l'exclusivité et l'utilisation unique des signatures de la liste blanche. Cela signifie qu'un attaquant peut réutiliser les signatures d'autres utilisateurs de la liste blanche pour le minting de collections, contournant ainsi le processus de vérification normal.
À travers l'examen du code du contrat, nous avons découvert que la fonction verify présente des défauts évidents dans sa conception. Cette fonction n'inclut pas l'adresse de l'initiateur de la transaction dans le processus de vérification de la signature, et aucune mesure n'a été mise en place pour empêcher la réutilisation des signatures. Ces mesures de sécurité devraient être des connaissances de base dans le développement des smart contracts, et leur absence soulève des doutes sur la capacité technique de l'équipe du projet.
En tant que professionnels du domaine de la blockchain, nous sommes choqués de voir une telle vulnérabilité de sécurité de base apparaître dans des projets de haute notoriété. Cela révèle non seulement la négligence des équipes de projet en matière d'audit de sécurité, mais souligne également le fait que l'ensemble de l'industrie a encore un long chemin à parcourir en matière de normalisation du développement des smart contracts et d'amélioration de la sensibilisation à la sécurité.
Cet événement nous rappelle une fois de plus que, quelle que soit l'échelle du projet, la sécurité doit toujours être la considération primordiale dans le processus de développement des applications blockchain. Il est conseillé à toutes les parties concernées de renforcer l'audit de sécurité des smart contracts, d'introduire des organismes professionnels tiers pour une évaluation complète, et d'établir un processus de test de sécurité solide afin d'éviter la récurrence de vulnérabilités similaires.
Pour les utilisateurs, cet événement a également sonné l'alarme. Lors de la participation à tout projet blockchain, nous devons adopter une attitude prudente, comprendre les risques potentiels et, si possible, mener les enquêtes nécessaires sur la mise en œuvre technique du projet. Ce n'est qu'en travaillant ensemble au sein de tout l'écosystème que nous pourrons construire un environnement d'actifs numériques plus sûr et plus fiable.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
17 J'aime
Récompense
17
8
Reposter
Partager
Commentaire
0/400
PumpDoctrine
· 08-12 17:01
Encore une histoire de Allowlist~
Voir l'originalRépondre0
MemecoinResearcher
· 08-11 07:58
ngmi fam... erreur de validation de la signature rookie fr fr
Voir l'originalRépondre0
DogeBachelor
· 08-09 19:04
Une autre défaillance avant même le lancement.
Voir l'originalRépondre0
NFTFreezer
· 08-09 18:57
Allowlist vraiment donné gratuitement appartient à
Voir l'originalRépondre0
BlockTalk
· 08-09 18:55
Encore une fois, Couper les coupons.
Voir l'originalRépondre0
BearMarketBuyer
· 08-09 18:54
Ils continuent à vendre des NFT, qui achète est malheureux si le contrat a des failles.
Voir l'originalRépondre0
WinterWarmthCat
· 08-09 18:45
smart contracts ont encore un bug, ça fait mal de le voir
Voir l'originalRépondre0
MEVSandwich
· 08-09 18:41
Un autre projet a été profité sans frais, ça devient vraiment animé.
Une importante vulnérabilité de sécurité a été découverte dans le smart contracts des collectibles numériques de la célèbre ligue sportive.
Récemment, une préoccupation concernant une vulnérabilité de sécurité des collections numériques d'une célèbre ligue sportive a attiré l'attention des experts du secteur. Après une analyse approfondie, les experts ont découvert que les contrats intelligents utilisés par la ligue pour vendre des collections numériques présentaient des failles graves. Cette vulnérabilité permet à des utilisateurs malveillants de minting des articles à coût zéro et d'en tirer des bénéfices indus par la vente.
La cause fondamentale de cette vulnérabilité de sécurité réside dans le mécanisme de vérification des signatures des utilisateurs de la liste blanche dans le contrat. Plus précisément, le contrat n'a pas réussi à assurer l'exclusivité et l'utilisation unique des signatures de la liste blanche. Cela signifie qu'un attaquant peut réutiliser les signatures d'autres utilisateurs de la liste blanche pour le minting de collections, contournant ainsi le processus de vérification normal.
À travers l'examen du code du contrat, nous avons découvert que la fonction verify présente des défauts évidents dans sa conception. Cette fonction n'inclut pas l'adresse de l'initiateur de la transaction dans le processus de vérification de la signature, et aucune mesure n'a été mise en place pour empêcher la réutilisation des signatures. Ces mesures de sécurité devraient être des connaissances de base dans le développement des smart contracts, et leur absence soulève des doutes sur la capacité technique de l'équipe du projet.
En tant que professionnels du domaine de la blockchain, nous sommes choqués de voir une telle vulnérabilité de sécurité de base apparaître dans des projets de haute notoriété. Cela révèle non seulement la négligence des équipes de projet en matière d'audit de sécurité, mais souligne également le fait que l'ensemble de l'industrie a encore un long chemin à parcourir en matière de normalisation du développement des smart contracts et d'amélioration de la sensibilisation à la sécurité.
Cet événement nous rappelle une fois de plus que, quelle que soit l'échelle du projet, la sécurité doit toujours être la considération primordiale dans le processus de développement des applications blockchain. Il est conseillé à toutes les parties concernées de renforcer l'audit de sécurité des smart contracts, d'introduire des organismes professionnels tiers pour une évaluation complète, et d'établir un processus de test de sécurité solide afin d'éviter la récurrence de vulnérabilités similaires.
Pour les utilisateurs, cet événement a également sonné l'alarme. Lors de la participation à tout projet blockchain, nous devons adopter une attitude prudente, comprendre les risques potentiels et, si possible, mener les enquêtes nécessaires sur la mise en œuvre technique du projet. Ce n'est qu'en travaillant ensemble au sein de tout l'écosystème que nous pourrons construire un environnement d'actifs numériques plus sûr et plus fiable.