Проект цифровых коллекционных предметов спортивного альянса сейчас имеет серьезную уязвимость в безопасности. Технический дефект может привести к бесплатному минтингу.
В последнее время известный спортивный союз запустил серию цифровых коллекционных предметов, что привлекло широкое внимание на рынке. Однако в этом проекте, находящемся под пристальным вниманием, была обнаружена серьезная уязвимость безопасности. Эта уязвимость позволила некоторым техническим специалистам без затрат создавать эти цифровые коллекционные предметы и извлекать из этого прибыль.
!
Корень этой уязвимости безопасности заключается в недостатках механизма проверки для определенных пользователей. В частности, система не обеспечивает эффективного контроля, чтобы удостоверяющие подписи могли использоваться только назначенными пользователями, и каждая подпись могла использоваться только один раз. Это приводит к опасной ситуации: технически подкованные люди могут повторно использовать подписи других законных пользователей для создания цифровых коллекционных предметов.
С технической точки зрения проблема заключается в дизайне функции проверки. Эта функция при проверке подписи не учитывает адрес инициатора транзакции в содержимом подписи. Более того, система также не предусмотрела механизм, который гарантировал бы, что каждая подпись может быть использована только один раз. Эти меры должны быть основными мерами безопасности в разработке программного обеспечения, но в этом проекте они были проигнорированы.
Для такого высокоизвестного проекта наличие столь базовой уязвимости в безопасности действительно удивительно. Это не только выявляет небрежность со стороны проекта в управлении безопасностью, но и подчеркивает, что даже крупные учреждения в области блокчейна и цифровых активов могут допускать ошибки в основных практиках безопасности.
!
Это событие еще раз напоминает нам о том, что всесторонний аудит безопасности и строгие процедуры тестирования являются незаменимыми при разработке и развертывании смарт-контрактов. В то же время оно подчеркивает важность постоянного обучения и обновления знаний о безопасности в быстро развивающейся области блокчейн-технологий.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
15 Лайков
Награда
15
8
Репост
Поделиться
комментарий
0/400
FarmHopper
· 08-15 02:12
Это не что-то новое.
Посмотреть ОригиналОтветить0
ThatsNotARugPull
· 08-14 22:14
Тестовая команда по чистке ног овощей
Посмотреть ОригиналОтветить0
degenonymous
· 08-14 03:42
А, снова обнаружили новую уязвимость.
Посмотреть ОригиналОтветить0
AirdropBuffet
· 08-12 02:32
Плохо составленный технический контракт равен тому, что дарить деньги.
Посмотреть ОригиналОтветить0
DataBartender
· 08-12 02:30
Вы что, даже защитный сбор не можете собрать?
Посмотреть ОригиналОтветить0
GweiWatcher
· 08-12 02:24
Вы не можете устранить этот базовый баг? 流汗.jpg
Посмотреть ОригиналОтветить0
PriceOracleFairy
· 08-12 02:18
лmao еще одна классическая уязвимость повторной подписи... н00бы никогда не учатся, не так ли?
Проект цифровых коллекционных предметов спортивного альянса сейчас имеет серьезную уязвимость в безопасности. Технический дефект может привести к бесплатному минтингу.
В последнее время известный спортивный союз запустил серию цифровых коллекционных предметов, что привлекло широкое внимание на рынке. Однако в этом проекте, находящемся под пристальным вниманием, была обнаружена серьезная уязвимость безопасности. Эта уязвимость позволила некоторым техническим специалистам без затрат создавать эти цифровые коллекционные предметы и извлекать из этого прибыль.
!
Корень этой уязвимости безопасности заключается в недостатках механизма проверки для определенных пользователей. В частности, система не обеспечивает эффективного контроля, чтобы удостоверяющие подписи могли использоваться только назначенными пользователями, и каждая подпись могла использоваться только один раз. Это приводит к опасной ситуации: технически подкованные люди могут повторно использовать подписи других законных пользователей для создания цифровых коллекционных предметов.
С технической точки зрения проблема заключается в дизайне функции проверки. Эта функция при проверке подписи не учитывает адрес инициатора транзакции в содержимом подписи. Более того, система также не предусмотрела механизм, который гарантировал бы, что каждая подпись может быть использована только один раз. Эти меры должны быть основными мерами безопасности в разработке программного обеспечения, но в этом проекте они были проигнорированы.
Для такого высокоизвестного проекта наличие столь базовой уязвимости в безопасности действительно удивительно. Это не только выявляет небрежность со стороны проекта в управлении безопасностью, но и подчеркивает, что даже крупные учреждения в области блокчейна и цифровых активов могут допускать ошибки в основных практиках безопасности.
!
Это событие еще раз напоминает нам о том, что всесторонний аудит безопасности и строгие процедуры тестирования являются незаменимыми при разработке и развертывании смарт-контрактов. В то же время оно подчеркивает важность постоянного обучения и обновления знаний о безопасности в быстро развивающейся области блокчейн-технологий.