O projeto de colecionáveis digitais da liga esportiva apresenta uma grave vulnerabilidade de segurança. Um defeito técnico pode permitir a cunhagem gratuita.
Recentemente, uma conhecida liga desportiva lançou uma série de colecionáveis digitais, atraindo a atenção generalizada do mercado. No entanto, neste projeto amplamente destacado, foi descoberta uma grave vulnerabilidade de segurança. Esta vulnerabilidade permitiu que alguns técnicos habilidosos criassem estes colecionáveis digitais sem custos e lucrassem com isso.
A raiz dessa vulnerabilidade de segurança reside em falhas no mecanismo de autenticação de usuários específicos. Em particular, o sistema não garante efetivamente que a assinatura de autenticação só possa ser utilizada pelo usuário designado, e que cada assinatura só pode ser utilizada uma vez. Isso levou a uma situação perigosa: especialistas em tecnologia podem reutilizar assinaturas de outros usuários legítimos para criar colecionáveis digitais.
Do ponto de vista técnico, o problema reside no design da função de validação. Esta função, ao realizar a verificação de assinatura, não incluiu o endereço do iniciador da transação no conteúdo da assinatura. Mais importante, o sistema também não estabeleceu um mecanismo para garantir que cada assinatura possa ser usada apenas uma vez. Estas deveriam ser as medidas de segurança mais básicas no desenvolvimento de software, mas foram ignoradas neste projeto.
Para um projeto de tão alta visibilidade, é realmente surpreendente que um erro de segurança tão básico tenha ocorrido. Isso não só expõe a negligência da equipe do projeto na gestão de segurança, mas também destaca que, no campo da blockchain e dos ativos digitais, até mesmo grandes instituições podem cometer falhas em práticas de segurança fundamentais.
Este evento lembra-nos novamente que, ao desenvolver e implementar contratos inteligentes, uma auditoria de segurança completa e um rigoroso processo de teste são indispensáveis. Ao mesmo tempo, também destaca a importância de aprender continuamente e atualizar os conhecimentos de segurança no campo em rápida evolução da tecnologia blockchain.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
15 gostos
Recompensa
15
8
Republicar
Partilhar
Comentar
0/400
FarmHopper
· 08-15 02:12
Não é nada de novo.
Ver originalResponder0
ThatsNotARugPull
· 08-14 22:14
A equipa de teste do pé das verduras
Ver originalResponder0
degenonymous
· 08-14 03:42
Ah, descobriram uma nova vulnerabilidade novamente.
Ver originalResponder0
AirdropBuffet
· 08-12 02:32
Um contrato técnico mal redigido é como dar dinheiro de graça.
Ver originalResponder0
DataBartender
· 08-12 02:30
Você não vai cobrar uma taxa de proteção?
Ver originalResponder0
GweiWatcher
· 08-12 02:24
Este bug básico não consegue ser resolvido? Suando.jpg
Ver originalResponder0
PriceOracleFairy
· 08-12 02:18
lmao outra exploração clássica de replay de assinatura... n00bs nunca aprendem, pois não?
O projeto de colecionáveis digitais da liga esportiva apresenta uma grave vulnerabilidade de segurança. Um defeito técnico pode permitir a cunhagem gratuita.
Recentemente, uma conhecida liga desportiva lançou uma série de colecionáveis digitais, atraindo a atenção generalizada do mercado. No entanto, neste projeto amplamente destacado, foi descoberta uma grave vulnerabilidade de segurança. Esta vulnerabilidade permitiu que alguns técnicos habilidosos criassem estes colecionáveis digitais sem custos e lucrassem com isso.
A raiz dessa vulnerabilidade de segurança reside em falhas no mecanismo de autenticação de usuários específicos. Em particular, o sistema não garante efetivamente que a assinatura de autenticação só possa ser utilizada pelo usuário designado, e que cada assinatura só pode ser utilizada uma vez. Isso levou a uma situação perigosa: especialistas em tecnologia podem reutilizar assinaturas de outros usuários legítimos para criar colecionáveis digitais.
Do ponto de vista técnico, o problema reside no design da função de validação. Esta função, ao realizar a verificação de assinatura, não incluiu o endereço do iniciador da transação no conteúdo da assinatura. Mais importante, o sistema também não estabeleceu um mecanismo para garantir que cada assinatura possa ser usada apenas uma vez. Estas deveriam ser as medidas de segurança mais básicas no desenvolvimento de software, mas foram ignoradas neste projeto.
Para um projeto de tão alta visibilidade, é realmente surpreendente que um erro de segurança tão básico tenha ocorrido. Isso não só expõe a negligência da equipe do projeto na gestão de segurança, mas também destaca que, no campo da blockchain e dos ativos digitais, até mesmo grandes instituições podem cometer falhas em práticas de segurança fundamentais.
Este evento lembra-nos novamente que, ao desenvolver e implementar contratos inteligentes, uma auditoria de segurança completa e um rigoroso processo de teste são indispensáveis. Ao mesmo tempo, também destaca a importância de aprender continuamente e atualizar os conhecimentos de segurança no campo em rápida evolução da tecnologia blockchain.