O projeto de colecionáveis digitais da liga esportiva apresenta uma grave vulnerabilidade de segurança. Um defeito técnico pode permitir a cunhagem gratuita.
Recentemente, uma conhecida liga desportiva lançou uma série de colecionáveis digitais, atraindo a atenção generalizada do mercado. No entanto, neste projeto amplamente destacado, foi descoberta uma grave vulnerabilidade de segurança. Esta vulnerabilidade permitiu que alguns técnicos habilidosos criassem estes colecionáveis digitais sem custos e lucrassem com isso.
A raiz dessa vulnerabilidade de segurança reside em falhas no mecanismo de autenticação de usuários específicos. Em particular, o sistema não garante efetivamente que a assinatura de autenticação só possa ser utilizada pelo usuário designado, e que cada assinatura só pode ser utilizada uma vez. Isso levou a uma situação perigosa: especialistas em tecnologia podem reutilizar assinaturas de outros usuários legítimos para criar colecionáveis digitais.
Do ponto de vista técnico, o problema reside no design da função de validação. Esta função, ao realizar a verificação de assinatura, não incluiu o endereço do iniciador da transação no conteúdo da assinatura. Mais importante, o sistema também não estabeleceu um mecanismo para garantir que cada assinatura possa ser usada apenas uma vez. Estas deveriam ser as medidas de segurança mais básicas no desenvolvimento de software, mas foram ignoradas neste projeto.
Para um projeto de tão alta visibilidade, é realmente surpreendente que um erro de segurança tão básico tenha ocorrido. Isso não só expõe a negligência da equipe do projeto na gestão de segurança, mas também destaca que, no campo da blockchain e dos ativos digitais, até mesmo grandes instituições podem cometer falhas em práticas de segurança fundamentais.
Este evento lembra-nos novamente que, ao desenvolver e implementar contratos inteligentes, uma auditoria de segurança completa e um rigoroso processo de teste são indispensáveis. Ao mesmo tempo, também destaca a importância de aprender continuamente e atualizar os conhecimentos de segurança no campo em rápida evolução da tecnologia blockchain.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
12 Curtidas
Recompensa
12
5
Repostar
Compartilhar
Comentário
0/400
AirdropBuffet
· 08-12 02:32
Um contrato técnico mal redigido é como dar dinheiro de graça.
Ver originalResponder0
DataBartender
· 08-12 02:30
Você não vai cobrar uma taxa de proteção?
Ver originalResponder0
GweiWatcher
· 08-12 02:24
Este bug básico não consegue ser resolvido? Suando.jpg
Ver originalResponder0
PriceOracleFairy
· 08-12 02:18
lmao outra exploração clássica de replay de assinatura... n00bs nunca aprendem, pois não?
O projeto de colecionáveis digitais da liga esportiva apresenta uma grave vulnerabilidade de segurança. Um defeito técnico pode permitir a cunhagem gratuita.
Recentemente, uma conhecida liga desportiva lançou uma série de colecionáveis digitais, atraindo a atenção generalizada do mercado. No entanto, neste projeto amplamente destacado, foi descoberta uma grave vulnerabilidade de segurança. Esta vulnerabilidade permitiu que alguns técnicos habilidosos criassem estes colecionáveis digitais sem custos e lucrassem com isso.
A raiz dessa vulnerabilidade de segurança reside em falhas no mecanismo de autenticação de usuários específicos. Em particular, o sistema não garante efetivamente que a assinatura de autenticação só possa ser utilizada pelo usuário designado, e que cada assinatura só pode ser utilizada uma vez. Isso levou a uma situação perigosa: especialistas em tecnologia podem reutilizar assinaturas de outros usuários legítimos para criar colecionáveis digitais.
Do ponto de vista técnico, o problema reside no design da função de validação. Esta função, ao realizar a verificação de assinatura, não incluiu o endereço do iniciador da transação no conteúdo da assinatura. Mais importante, o sistema também não estabeleceu um mecanismo para garantir que cada assinatura possa ser usada apenas uma vez. Estas deveriam ser as medidas de segurança mais básicas no desenvolvimento de software, mas foram ignoradas neste projeto.
Para um projeto de tão alta visibilidade, é realmente surpreendente que um erro de segurança tão básico tenha ocorrido. Isso não só expõe a negligência da equipe do projeto na gestão de segurança, mas também destaca que, no campo da blockchain e dos ativos digitais, até mesmo grandes instituições podem cometer falhas em práticas de segurança fundamentais.
Este evento lembra-nos novamente que, ao desenvolver e implementar contratos inteligentes, uma auditoria de segurança completa e um rigoroso processo de teste são indispensáveis. Ao mesmo tempo, também destaca a importância de aprender continuamente e atualizar os conhecimentos de segurança no campo em rápida evolução da tecnologia blockchain.