A NBA lançou recentemente uma série de colecionáveis digitais, mas o que preocupa é que há sérias falhas nos contratos de venda. Pesquisadores de segurança descobriram que criminosos podem explorar essa vulnerabilidade para cunhar colecionáveis sem incorrer em nenhum custo e obter ganhos indevidos através da venda.
A raiz desta vulnerabilidade reside na existência de riscos de segurança na verificação das assinaturas dos usuários da lista branca. O contrato não conseguiu garantir a unicidade e a exclusividade das assinaturas da lista branca, permitindo que os atacantes reutilizassem as assinaturas de outros usuários da lista branca para cunhar colecionáveis.
Do ponto de vista técnico, a função verify apresenta falhas de design evidentes. Ela não inclui o endereço do remetente no processo de verificação da assinatura e carece de um mecanismo para prevenir a reutilização da assinatura. Estas medidas de segurança deveriam ser um conhecimento básico no desenvolvimento de software, mas foram ignoradas neste projeto amplamente divulgado, o que é realmente chocante.
A ocorrência de vulnerabilidades de segurança dessa natureza não só prejudica os interesses das partes do projeto, como também traz um impacto negativo para todo o mercado de colecionáveis digitais. Isso destaca que, no desenvolvimento de projetos de blockchain, até mesmo instituições renomadas podem falhar em práticas de segurança básicas. Este evento deve servir de alerta para a indústria, lembrando os desenvolvedores de que devem ser extremamente cautelosos ao projetar contratos inteligentes, especialmente ao lidar com funções essenciais que envolvem ativos e permissões.
Para evitar que problemas semelhantes ocorram novamente, a equipe de desenvolvimento deve reforçar o processo de auditoria de código, introduzindo mecanismos de teste de segurança mais rigorosos. Ao mesmo tempo, também se recomenda que a equipe do projeto considere contratar especialistas de segurança independentes para realizar auditorias, a fim de garantir a segurança e a confiabilidade dos contratos. Só assim será possível proteger verdadeiramente os interesses dos usuários e manter o desenvolvimento saudável do mercado de colecionáveis digitais.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
5 gostos
Recompensa
5
6
Republicar
Partilhar
Comentar
0/400
FallingLeaf
· 08-10 20:30
O contrato é tão baixo que nem a lista de permissões é limpa.
Ver originalResponder0
IronHeadMiner
· 08-10 20:30
Muito absurdo, o contrato de cunhagem nem a lista de permissões foi bem feito.
Ver originalResponder0
LiquidationWizard
· 08-10 20:28
又有idiotas进场了
Ver originalResponder0
BridgeJumper
· 08-10 20:26
Lista de permissões valida este nível, realmente fraco.
Ver originalResponder0
TrustlessMaximalist
· 08-10 20:25
Com esse nível ainda se atreve a lançar colecionáveis???
Ver originalResponder0
OldLeekNewSickle
· 08-10 20:19
idiotas nunca conseguem adivinhar de onde vem o próximo golpe
Vulnerabilidade do contrato de colecionáveis digitais da NBA pode ser explorada para cunhagem gratuita e lucro
A NBA lançou recentemente uma série de colecionáveis digitais, mas o que preocupa é que há sérias falhas nos contratos de venda. Pesquisadores de segurança descobriram que criminosos podem explorar essa vulnerabilidade para cunhar colecionáveis sem incorrer em nenhum custo e obter ganhos indevidos através da venda.
A raiz desta vulnerabilidade reside na existência de riscos de segurança na verificação das assinaturas dos usuários da lista branca. O contrato não conseguiu garantir a unicidade e a exclusividade das assinaturas da lista branca, permitindo que os atacantes reutilizassem as assinaturas de outros usuários da lista branca para cunhar colecionáveis.
Do ponto de vista técnico, a função verify apresenta falhas de design evidentes. Ela não inclui o endereço do remetente no processo de verificação da assinatura e carece de um mecanismo para prevenir a reutilização da assinatura. Estas medidas de segurança deveriam ser um conhecimento básico no desenvolvimento de software, mas foram ignoradas neste projeto amplamente divulgado, o que é realmente chocante.
A ocorrência de vulnerabilidades de segurança dessa natureza não só prejudica os interesses das partes do projeto, como também traz um impacto negativo para todo o mercado de colecionáveis digitais. Isso destaca que, no desenvolvimento de projetos de blockchain, até mesmo instituições renomadas podem falhar em práticas de segurança básicas. Este evento deve servir de alerta para a indústria, lembrando os desenvolvedores de que devem ser extremamente cautelosos ao projetar contratos inteligentes, especialmente ao lidar com funções essenciais que envolvem ativos e permissões.
Para evitar que problemas semelhantes ocorram novamente, a equipe de desenvolvimento deve reforçar o processo de auditoria de código, introduzindo mecanismos de teste de segurança mais rigorosos. Ao mesmo tempo, também se recomenda que a equipe do projeto considere contratar especialistas de segurança independentes para realizar auditorias, a fim de garantir a segurança e a confiabilidade dos contratos. Só assim será possível proteger verdadeiramente os interesses dos usuários e manter o desenvolvimento saudável do mercado de colecionáveis digitais.