El contrato de coleccionables digitales de la NBA presenta una grave vulnerabilidad. La verificación de firma de la lista de permitidos tiene defectos.
La NBA ha lanzado recientemente coleccionables digitales, pero lo preocupante es que hay una gran vulnerabilidad en su contrato de ventas. Los investigadores de seguridad han descubierto que los usuarios malintencionados pueden aprovechar esta vulnerabilidad para acuñar coleccionables sin pagar ninguna tarifa y obtener beneficios indebidos a través de la venta.
La raíz de este problema de seguridad radica en un defecto en el mecanismo de verificación de firmas de usuarios en la lista blanca del contrato. Específicamente, el contrato no pudo asegurar que las firmas de la lista blanca fueran utilizadas únicamente por usuarios específicos y que cada firma solo pudiera usarse una vez. Esto permitió a los atacantes reutilizar las firmas de otros usuarios en la lista blanca para acuñar coleccionables.
Desde el análisis del código del contrato se puede ver que la función verify no incluye la dirección del iniciador de la transacción en el contenido de la firma al verificarla. Además, el contrato tampoco ha implementado un mecanismo para prevenir el uso repetido de la firma. Estas medidas de seguridad deberían ser conocimientos básicos en el desarrollo de software, pero han sido ignoradas en un proyecto tan conocido, lo cual es increíble.
Este evento destaca que, incluso las grandes organizaciones pueden pasar por alto las prácticas de seguridad básicas durante el desarrollo de proyectos de blockchain. Nos recuerda que al diseñar contratos inteligentes, se debe prestar especial atención a los detalles de seguridad, especialmente al manejar permisos de usuario y la verificación de transacciones. Al mismo tiempo, también enfatiza la importancia de realizar una auditoría de seguridad integral y profesional antes de que el proyecto se lance, para evitar que vulnerabilidades similares causen pérdidas potenciales a los usuarios y al proyecto.
Para los participantes de la industria blockchain, este caso es una advertencia: independientemente del tamaño del proyecto, no se pueden ignorar los principios básicos de seguridad. El equipo de desarrollo debe seguir aprendiendo y actualizando sus conocimientos de seguridad, y llevar a cabo rigurosas verificaciones de seguridad en todas las etapas del proyecto. Al mismo tiempo, los usuarios también deben mantenerse alerta al participar en cualquier proyecto blockchain, comprender los riesgos potenciales y elegir plataformas que hayan pasado por auditorías de seguridad rigurosas para interactuar.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
9 me gusta
Recompensa
9
8
Republicar
Compartir
Comentar
0/400
OnchainFortuneTeller
· 07-27 01:03
Lista de permitidos no verifica la firma, esto es preocupante en términos de inteligencia.
Ver originalesResponder0
RugPullAlarm
· 07-26 15:17
Este dinero finalmente fluirá hacia el mezclador de monedas Tornado, debe haber algo grande.
Ver originalesResponder0
WhaleWatcher
· 07-24 17:47
Este coeficiente intelectual ha pagado el impuesto de coeficiente intelectual.
Ver originalesResponder0
CodeAuditQueen
· 07-24 06:13
La repetición de firmas, un tema recurrente, ha vuelto. ¿Acaso todos estaban dormidos durante la revisión?
Ver originalesResponder0
AirdropSweaterFan
· 07-24 06:06
¿No sabes escribir un mecanismo de firma? El novato está confirmado.
Ver originalesResponder0
AirdropChaser
· 07-24 05:56
¿Él también quiere ganar mi dinero? La trampa la he visto a través.
Ver originalesResponder0
ChainWatcher
· 07-24 05:51
¿No se auditan los contratos primero? Qué ridículo.
Ver originalesResponder0
RetailTherapist
· 07-24 05:49
Un proyecto tan grande también fue aprovechado, que le den a su abuela.
El contrato de coleccionables digitales de la NBA presenta una grave vulnerabilidad. La verificación de firma de la lista de permitidos tiene defectos.
La NBA ha lanzado recientemente coleccionables digitales, pero lo preocupante es que hay una gran vulnerabilidad en su contrato de ventas. Los investigadores de seguridad han descubierto que los usuarios malintencionados pueden aprovechar esta vulnerabilidad para acuñar coleccionables sin pagar ninguna tarifa y obtener beneficios indebidos a través de la venta.
La raíz de este problema de seguridad radica en un defecto en el mecanismo de verificación de firmas de usuarios en la lista blanca del contrato. Específicamente, el contrato no pudo asegurar que las firmas de la lista blanca fueran utilizadas únicamente por usuarios específicos y que cada firma solo pudiera usarse una vez. Esto permitió a los atacantes reutilizar las firmas de otros usuarios en la lista blanca para acuñar coleccionables.
Desde el análisis del código del contrato se puede ver que la función verify no incluye la dirección del iniciador de la transacción en el contenido de la firma al verificarla. Además, el contrato tampoco ha implementado un mecanismo para prevenir el uso repetido de la firma. Estas medidas de seguridad deberían ser conocimientos básicos en el desarrollo de software, pero han sido ignoradas en un proyecto tan conocido, lo cual es increíble.
Este evento destaca que, incluso las grandes organizaciones pueden pasar por alto las prácticas de seguridad básicas durante el desarrollo de proyectos de blockchain. Nos recuerda que al diseñar contratos inteligentes, se debe prestar especial atención a los detalles de seguridad, especialmente al manejar permisos de usuario y la verificación de transacciones. Al mismo tiempo, también enfatiza la importancia de realizar una auditoría de seguridad integral y profesional antes de que el proyecto se lance, para evitar que vulnerabilidades similares causen pérdidas potenciales a los usuarios y al proyecto.
Para los participantes de la industria blockchain, este caso es una advertencia: independientemente del tamaño del proyecto, no se pueden ignorar los principios básicos de seguridad. El equipo de desarrollo debe seguir aprendiendo y actualizando sus conocimientos de seguridad, y llevar a cabo rigurosas verificaciones de seguridad en todas las etapas del proyecto. Al mismo tiempo, los usuarios también deben mantenerse alerta al participar en cualquier proyecto blockchain, comprender los riesgos potenciales y elegir plataformas que hayan pasado por auditorías de seguridad rigurosas para interactuar.