O contrato de colecionáveis digitais da NBA apresenta uma grave vulnerabilidade de segurança, a mecânica de verificação da Lista de permissões tem falhas.
A NBA lançou recentemente uma série de colecionáveis digitais, mas após uma análise aprofundada, descobrimos que o contrato de venda apresenta sérias vulnerabilidades de segurança. Esta falha permite que usuários mal-intencionados possam cunhar colecionáveis sem custos e obter benefícios indevidos através da venda.
A raiz do problema está na falha do mecanismo de verificação de assinatura dos usuários da lista branca. O contrato não conseguiu garantir a exclusividade e o uso único das assinaturas da lista branca, o que permitiu que atacantes reutilizassem as assinaturas de outros usuários da lista branca para cunhar colecionáveis.
A partir do código do contrato, pode-se ver claramente que a função de verificação não inclui o endereço do iniciador da transação no conteúdo da assinatura. Além disso, falta um mecanismo para impedir a reutilização da assinatura. Essas medidas básicas de segurança deveriam ser conhecimentos comuns no desenvolvimento de software.
Surpreendentemente, uma falha tão óbvia apareceu em um projeto tão destacado. Isso não apenas expôs a negligência da equipe do projeto na auditoria de segurança, mas também destacou os desafios que os projetos de blockchain enfrentam em relação à segurança do código.
Este evento lembra-nos novamente que, mesmo projetos de grande escala e alta visibilidade, podem apresentar vulnerabilidades de segurança fundamentais. Para projetos de blockchain, a auditoria de segurança do código e a detecção contínua de vulnerabilidades são particularmente importantes. Ao mesmo tempo, isso também soa como um alerta para toda a indústria, apelando para que todas as partes deem mais atenção à construção da segurança dos contratos inteligentes.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
10 gostos
Recompensa
10
6
Republicar
Partilhar
Comentar
0/400
GasFeeThunder
· 5h atrás
Mais uma versão replicada do dia 12 de abril, com dados em mãos, mas ainda assim, tudo mal.
Ver originalResponder0
ChainDetective
· 11h atrás
Zé esse tipo de bug de novato também consegue ir para a linha de frente
Ver originalResponder0
WhaleSurfer
· 11h atrás
Quem não sabe desenvolver ainda se atreve a pegar este contrato da NBA
Ver originalResponder0
RugPullAlarm
· 11h atrás
Eu realmente pratiquei com alho-poró e nem fiz uma auditoria primária
Ver originalResponder0
BlockchainGriller
· 11h atrás
Olhe com atenção, os outros estão sendo enganados por idiotas.
Ver originalResponder0
OnchainHolmes
· 11h atrás
Originalmente, a Lista de permissões pode ser copiada e colada. Com uma mão, pode-se fazer as pessoas de parvas.
O contrato de colecionáveis digitais da NBA apresenta uma grave vulnerabilidade de segurança, a mecânica de verificação da Lista de permissões tem falhas.
A NBA lançou recentemente uma série de colecionáveis digitais, mas após uma análise aprofundada, descobrimos que o contrato de venda apresenta sérias vulnerabilidades de segurança. Esta falha permite que usuários mal-intencionados possam cunhar colecionáveis sem custos e obter benefícios indevidos através da venda.
A raiz do problema está na falha do mecanismo de verificação de assinatura dos usuários da lista branca. O contrato não conseguiu garantir a exclusividade e o uso único das assinaturas da lista branca, o que permitiu que atacantes reutilizassem as assinaturas de outros usuários da lista branca para cunhar colecionáveis.
A partir do código do contrato, pode-se ver claramente que a função de verificação não inclui o endereço do iniciador da transação no conteúdo da assinatura. Além disso, falta um mecanismo para impedir a reutilização da assinatura. Essas medidas básicas de segurança deveriam ser conhecimentos comuns no desenvolvimento de software.
Surpreendentemente, uma falha tão óbvia apareceu em um projeto tão destacado. Isso não apenas expôs a negligência da equipe do projeto na auditoria de segurança, mas também destacou os desafios que os projetos de blockchain enfrentam em relação à segurança do código.
Este evento lembra-nos novamente que, mesmo projetos de grande escala e alta visibilidade, podem apresentar vulnerabilidades de segurança fundamentais. Para projetos de blockchain, a auditoria de segurança do código e a detecção contínua de vulnerabilidades são particularmente importantes. Ao mesmo tempo, isso também soa como um alerta para toda a indústria, apelando para que todas as partes deem mais atenção à construção da segurança dos contratos inteligentes.