Нещодавно відомий спортивний альянс запустив серію цифрових колекційних предметів, що викликало широке зацікавлення на ринку. Однак у цьому проекті, що отримав велику увагу, було виявлено серйозну вразливість безпеки. Ця вразливість дозволила деяким технічним експертам безкоштовно створювати ці цифрові колекційні предмети та отримувати з цього прибуток.
!
Ця уразливість безпеки виникає через недоліки в механізмі перевірки конкретних користувачів. Зокрема, система не забезпечує ефективну перевірку того, що підпис може використовуватися лише призначеним користувачем, і що кожен підпис може бути використаний лише один раз. Це призводить до небезпечної ситуації: технічні спеціалісти можуть повторно використовувати підписи інших легітимних користувачів для створення цифрових колекцій.
З технічної точки зору, проблема полягає в дизайні функції верифікації. Ця функція під час перевірки підпису не включає адресу ініціатора транзакції в зміст підпису. Ще більш важливо, що система також не встановила механізм, що гарантує, що кожен підпис може використовуватися лише один раз. Це мали бути найосновніші заходи безпеки в розробці програмного забезпечення, але вони були ігноровані в цьому проєкті.
Для такого високопрофільного проєкту наявність такої базової вразливості безпеки дійсно є несподіванкою. Це не лише виявляє недбалість команди проєкту в управлінні безпекою, а й підкреслює, що в сфері блокчейну та цифрових активів навіть великі інститути можуть допускати помилки в основних практиках безпеки.
!
Ця подія ще раз нагадує нам, що під час розробки та впровадження смарт-контрактів комплексний аудит безпеки та суворі процеси тестування є невід'ємними. Одночасно, вона підкреслює важливість безперервного навчання та оновлення знань з безпеки в швидко розвиваючійся сфері технологій блокчейн.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
15 лайків
Нагородити
15
8
Репост
Поділіться
Прокоментувати
0/400
FarmHopper
· 23год тому
Це ж не новина.
Переглянути оригіналвідповісти на0
ThatsNotARugPull
· 08-14 22:14
Тестувальна команда з чищення овочів
Переглянути оригіналвідповісти на0
degenonymous
· 08-14 03:42
А, знову виявили нову уразливість.
Переглянути оригіналвідповісти на0
AirdropBuffet
· 08-12 02:32
Погано написаний технічний контракт - це те саме, що дарувати гроші.
Переглянути оригіналвідповісти на0
DataBartender
· 08-12 02:30
Не можете зібрати захист?
Переглянути оригіналвідповісти на0
GweiWatcher
· 08-12 02:24
Цей базовий баг навіть не можуть виправити? потіє.jpg
Переглянути оригіналвідповісти на0
PriceOracleFairy
· 08-12 02:18
лmao ще одна класична експлуатація повторного підпису... н00би ніколи не вчаться, чи не так?
Спортивна ліга цифрових колекційних предметів має суттєву вразливість безпеки Технічний дефект може призвести до безкоштовного мінтингу
Нещодавно відомий спортивний альянс запустив серію цифрових колекційних предметів, що викликало широке зацікавлення на ринку. Однак у цьому проекті, що отримав велику увагу, було виявлено серйозну вразливість безпеки. Ця вразливість дозволила деяким технічним експертам безкоштовно створювати ці цифрові колекційні предмети та отримувати з цього прибуток.
!
Ця уразливість безпеки виникає через недоліки в механізмі перевірки конкретних користувачів. Зокрема, система не забезпечує ефективну перевірку того, що підпис може використовуватися лише призначеним користувачем, і що кожен підпис може бути використаний лише один раз. Це призводить до небезпечної ситуації: технічні спеціалісти можуть повторно використовувати підписи інших легітимних користувачів для створення цифрових колекцій.
З технічної точки зору, проблема полягає в дизайні функції верифікації. Ця функція під час перевірки підпису не включає адресу ініціатора транзакції в зміст підпису. Ще більш важливо, що система також не встановила механізм, що гарантує, що кожен підпис може використовуватися лише один раз. Це мали бути найосновніші заходи безпеки в розробці програмного забезпечення, але вони були ігноровані в цьому проєкті.
Для такого високопрофільного проєкту наявність такої базової вразливості безпеки дійсно є несподіванкою. Це не лише виявляє недбалість команди проєкту в управлінні безпекою, а й підкреслює, що в сфері блокчейну та цифрових активів навіть великі інститути можуть допускати помилки в основних практиках безпеки.
!
Ця подія ще раз нагадує нам, що під час розробки та впровадження смарт-контрактів комплексний аудит безпеки та суворі процеси тестування є невід'ємними. Одночасно, вона підкреслює важливість безперервного навчання та оновлення знань з безпеки в швидко розвиваючійся сфері технологій блокчейн.