Le projet de collection numérique de l'alliance sportive présente une grave vulnérabilité de sécurité. Un défaut technique pourrait permettre un minting gratuit.
Récemment, une célèbre ligue sportive a lancé une série de collections numériques, suscitant un large intérêt sur le marché. Cependant, dans ce projet très médiatisé, une grave faille de sécurité a été découverte. Cette faille a permis à certains experts techniques de créer ces objets de collection numériques sans coût et d'en tirer profit.
La source de cette vulnérabilité de sécurité réside dans un défaut du mécanisme de vérification pour des utilisateurs spécifiques. Plus précisément, le système n'assure pas efficacement que les signatures de vérification ne peuvent être utilisées que par les utilisateurs désignés, et que chaque signature ne peut être utilisée qu'une seule fois. Cela a conduit à une situation dangereuse : des experts techniques peuvent réutiliser les signatures d'autres utilisateurs légitimes pour créer des objets numériques.
D'un point de vue technique, le problème réside dans la conception de la fonction de vérification. Cette fonction, lors de la vérification de la signature, n'inclut pas l'adresse de l'initiateur de la transaction dans le contenu de la signature. Il est encore plus préoccupant de constater que le système n'a pas mis en place de mécanisme pour garantir que chaque signature ne peut être utilisée qu'une seule fois. Ces mesures de sécurité, qui devraient être les plus élémentaires dans le développement logiciel, ont été négligées dans ce projet.
Pour un projet de cette notoriété, il est vraiment surprenant de constater une telle faille de sécurité de base. Cela révèle non seulement la négligence de l'équipe du projet en matière de gestion de la sécurité, mais met également en évidence le fait que, dans le domaine de la blockchain et des actifs numériques, même les grandes institutions peuvent commettre des erreurs dans des pratiques de sécurité fondamentales.
Cet événement nous rappelle une fois de plus qu'une audit de sécurité complet et un processus de test rigoureux sont indispensables lors du développement et du déploiement de contrats intelligents. En même temps, il souligne l'importance de l'apprentissage continu et de la mise à jour des connaissances en matière de sécurité dans le domaine des technologies blockchain en rapide évolution.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
15 J'aime
Récompense
15
8
Reposter
Partager
Commentaire
0/400
FarmHopper
· 08-15 02:12
Ce n'est pas une nouvelle affaire.
Voir l'originalRépondre0
ThatsNotARugPull
· 08-14 22:14
L'équipe de test de grattage des légumes
Voir l'originalRépondre0
degenonymous
· 08-14 03:42
Ah, une nouvelle vulnérabilité a encore été découverte.
Voir l'originalRépondre0
AirdropBuffet
· 08-12 02:32
Un contrat technique mal rédigé équivaut à donner de l'argent gratuitement.
Voir l'originalRépondre0
DataBartender
· 08-12 02:30
Vous ne pouvez même pas collecter des frais de protection ?
Voir l'originalRépondre0
GweiWatcher
· 08-12 02:24
Tu ne peux même pas résoudre ce bug de base ? Suer.jpg
Voir l'originalRépondre0
PriceOracleFairy
· 08-12 02:18
mdr un autre exploit classique de replay de signature... les n00bs n'apprennent jamais, n'est-ce pas ?
Le projet de collection numérique de l'alliance sportive présente une grave vulnérabilité de sécurité. Un défaut technique pourrait permettre un minting gratuit.
Récemment, une célèbre ligue sportive a lancé une série de collections numériques, suscitant un large intérêt sur le marché. Cependant, dans ce projet très médiatisé, une grave faille de sécurité a été découverte. Cette faille a permis à certains experts techniques de créer ces objets de collection numériques sans coût et d'en tirer profit.
La source de cette vulnérabilité de sécurité réside dans un défaut du mécanisme de vérification pour des utilisateurs spécifiques. Plus précisément, le système n'assure pas efficacement que les signatures de vérification ne peuvent être utilisées que par les utilisateurs désignés, et que chaque signature ne peut être utilisée qu'une seule fois. Cela a conduit à une situation dangereuse : des experts techniques peuvent réutiliser les signatures d'autres utilisateurs légitimes pour créer des objets numériques.
D'un point de vue technique, le problème réside dans la conception de la fonction de vérification. Cette fonction, lors de la vérification de la signature, n'inclut pas l'adresse de l'initiateur de la transaction dans le contenu de la signature. Il est encore plus préoccupant de constater que le système n'a pas mis en place de mécanisme pour garantir que chaque signature ne peut être utilisée qu'une seule fois. Ces mesures de sécurité, qui devraient être les plus élémentaires dans le développement logiciel, ont été négligées dans ce projet.
Pour un projet de cette notoriété, il est vraiment surprenant de constater une telle faille de sécurité de base. Cela révèle non seulement la négligence de l'équipe du projet en matière de gestion de la sécurité, mais met également en évidence le fait que, dans le domaine de la blockchain et des actifs numériques, même les grandes institutions peuvent commettre des erreurs dans des pratiques de sécurité fondamentales.
Cet événement nous rappelle une fois de plus qu'une audit de sécurité complet et un processus de test rigoureux sont indispensables lors du développement et du déploiement de contrats intelligents. En même temps, il souligne l'importance de l'apprentissage continu et de la mise à jour des connaissances en matière de sécurité dans le domaine des technologies blockchain en rapide évolution.