Recientemente, la NBA lanzó una serie de coleccionables digitales, pero lo preocupante es que hay graves vulnerabilidades en su contrato de venta. Investigadores de seguridad han descubierto que los delincuentes pueden aprovechar esta vulnerabilidad para acuñar coleccionables sin incurrir en ningún costo y obtener beneficios indebidos a través de la venta.
La raíz de esta vulnerabilidad radica en la existencia de riesgos de seguridad en la verificación de firmas de usuarios en la lista blanca. El contrato no logró asegurar la unicidad y exclusividad de las firmas de la lista blanca, lo que permitió a los atacantes reutilizar las firmas de otros usuarios en la lista blanca para acuñar coleccionables.
Desde un punto de vista técnico, la función verify presenta defectos evidentes en su diseño. No incluye la dirección del remitente en el proceso de verificación de firmas y carece de mecanismos para prevenir el uso repetido de firmas. Estas medidas de seguridad deberían ser un sentido común básico en el desarrollo de software, sin embargo, han sido ignoradas en este proyecto tan destacado, lo que es realmente sorprendente.
La aparición de este tipo de vulnerabilidades de seguridad no solo perjudica los intereses de los proyectos, sino que también tiene un impacto negativo en todo el mercado de coleccionables digitales. Esto destaca que, en el desarrollo de proyectos blockchain, incluso las instituciones reconocidas pueden descuidar las prácticas de seguridad básicas. Este evento debería servir como una advertencia para la industria, recordando a los desarrolladores que deben ser especialmente cuidadosos al diseñar contratos inteligentes, especialmente al tratar funciones clave relacionadas con activos y permisos.
Para prevenir que problemas similares ocurran nuevamente, el equipo de desarrollo debería fortalecer el proceso de auditoría de código e introducir mecanismos de pruebas de seguridad más estrictos. Al mismo tiempo, se sugiere que el equipo del proyecto considere contratar a expertos de seguridad de terceros para realizar auditorías independientes, a fin de garantizar la seguridad y fiabilidad del contrato. Solo así se podrá proteger verdaderamente los intereses de los usuarios y mantener el desarrollo saludable del mercado de coleccionables digitales.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
6 me gusta
Recompensa
6
6
Republicar
Compartir
Comentar
0/400
FallingLeaf
· 08-10 20:30
El contrato es tan bajo que ni siquiera se elimina la lista de permitidos.
Ver originalesResponder0
IronHeadMiner
· 08-10 20:30
Demasiado absurdo, el contrato de acuñando ni siquiera ha hecho bien la lista de permitidos.
Ver originalesResponder0
LiquidationWizard
· 08-10 20:28
Otra vez han entrado tontos al mercado.
Ver originalesResponder0
BridgeJumper
· 08-10 20:26
Lista de permitidos verifica este nivel, realmente malo.
Ver originalesResponder0
TrustlessMaximalist
· 08-10 20:25
¿Con este nivel todavía se atreve a lanzar coleccionables???
Ver originalesResponder0
OldLeekNewSickle
· 08-10 20:19
tontos nunca podrán adivinar de dónde vendrá el próximo golpe.
Vulnerabilidad en el contrato de coleccionables digitales de la NBA que puede ser acuñada gratis para obtener ganancias
Recientemente, la NBA lanzó una serie de coleccionables digitales, pero lo preocupante es que hay graves vulnerabilidades en su contrato de venta. Investigadores de seguridad han descubierto que los delincuentes pueden aprovechar esta vulnerabilidad para acuñar coleccionables sin incurrir en ningún costo y obtener beneficios indebidos a través de la venta.
La raíz de esta vulnerabilidad radica en la existencia de riesgos de seguridad en la verificación de firmas de usuarios en la lista blanca. El contrato no logró asegurar la unicidad y exclusividad de las firmas de la lista blanca, lo que permitió a los atacantes reutilizar las firmas de otros usuarios en la lista blanca para acuñar coleccionables.
Desde un punto de vista técnico, la función verify presenta defectos evidentes en su diseño. No incluye la dirección del remitente en el proceso de verificación de firmas y carece de mecanismos para prevenir el uso repetido de firmas. Estas medidas de seguridad deberían ser un sentido común básico en el desarrollo de software, sin embargo, han sido ignoradas en este proyecto tan destacado, lo que es realmente sorprendente.
La aparición de este tipo de vulnerabilidades de seguridad no solo perjudica los intereses de los proyectos, sino que también tiene un impacto negativo en todo el mercado de coleccionables digitales. Esto destaca que, en el desarrollo de proyectos blockchain, incluso las instituciones reconocidas pueden descuidar las prácticas de seguridad básicas. Este evento debería servir como una advertencia para la industria, recordando a los desarrolladores que deben ser especialmente cuidadosos al diseñar contratos inteligentes, especialmente al tratar funciones clave relacionadas con activos y permisos.
Para prevenir que problemas similares ocurran nuevamente, el equipo de desarrollo debería fortalecer el proceso de auditoría de código e introducir mecanismos de pruebas de seguridad más estrictos. Al mismo tiempo, se sugiere que el equipo del proyecto considere contratar a expertos de seguridad de terceros para realizar auditorías independientes, a fin de garantizar la seguridad y fiabilidad del contrato. Solo así se podrá proteger verdaderamente los intereses de los usuarios y mantener el desarrollo saludable del mercado de coleccionables digitales.