O contrato de colecionáveis digitais da NBA tem uma grave vulnerabilidade de segurança
Recentemente, a NBA lançou uma série de colecionáveis digitais, o que gerou grande atenção. No entanto, alguns especialistas em segurança, ao revisarem seu contrato de venda, descobriram uma falha significativa e chocante. Esta falha pode permitir que usuários maliciosos mintem colecionáveis sem custo e obtenham benefícios indevidos através da venda.
O cerne do problema reside na falha do mecanismo de verificação de assinatura dos usuários na lista branca do contrato. O contrato não implementou duas medidas de segurança cruciais: garantir que as assinaturas da lista branca possam ser utilizadas apenas por usuários específicos e que cada assinatura possa ser utilizada apenas uma vez. Isso significa que um atacante pode reutilizar as assinaturas de outros usuários da lista branca para cunhar colecionáveis.
A partir do código do contrato público, é claro que a função verify, ao realizar a validação de assinaturas, não inclui o endereço do remetente no conteúdo da assinatura. Além disso, o contrato não implementou um mecanismo para evitar o uso múltiplo da mesma assinatura. Essas medidas de segurança deveriam ser conhecimentos básicos de desenvolvimento de software, mas foram ignoradas neste projeto amplamente divulgado.
Os especialistas da indústria expressaram choque e preocupação. Eles apontaram que é inacreditável que um nível tão alto de vulnerabilidade de segurança apareça em um projeto tão conhecido. Isso não apenas expõe a negligência da equipe do projeto no desenvolvimento e auditoria de contratos inteligentes, mas também destaca que toda a indústria ainda tem um longo caminho a percorrer em termos de práticas de segurança.
Este evento mais uma vez nos lembra que até mesmo as instituições mais grandes e confiáveis podem cometer erros básicos ao se aventurarem em novos campos tecnológicos. Para os participantes do mercado de colecionáveis digitais, isso é um alerta: antes de participar de qualquer projeto, é essencial realizar uma avaliação completa de sua base tecnológica e medidas de segurança.
Com a contínua expansão do mercado de colecionáveis digitais, problemas de segurança semelhantes podem ser cada vez mais expostos. Isso não apenas exige que os desenvolvedores do projeto fiquem alertas e reforcem as auditorias de segurança, mas também pede que toda a indústria estabeleça padrões de segurança mais elevados e melhores práticas. Só assim será possível realmente proteger os interesses dos usuários e promover o desenvolvimento saudável do mercado de colecionáveis digitais.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
20 gostos
Recompensa
20
6
Partilhar
Comentar
0/400
gas_fee_therapy
· 07-21 20:57
Uma falha horrivelmente feia
Ver originalResponder0
YieldWhisperer
· 07-21 02:13
vi este exato exploit em 2021... segurança de amador, para ser honesto
Ver originalResponder0
Ramen_Until_Rich
· 07-20 22:08
Contrato inteligente, ainda se atreve a ser lançado.
Ver originalResponder0
Layer2Arbitrageur
· 07-18 23:21
lmao imagina não validar os sigs corretamente em 2024... ngmi
Ver originalResponder0
BearWhisperGod
· 07-18 23:17
Morrendo de rir, a lista de permissões também pode dar errado?
Contrato de colecionáveis digitais da NBA revela uma grande vulnerabilidade. Usuários mal-intencionados podem conseguir cunhar gratuitamente e lucrar.
O contrato de colecionáveis digitais da NBA tem uma grave vulnerabilidade de segurança
Recentemente, a NBA lançou uma série de colecionáveis digitais, o que gerou grande atenção. No entanto, alguns especialistas em segurança, ao revisarem seu contrato de venda, descobriram uma falha significativa e chocante. Esta falha pode permitir que usuários maliciosos mintem colecionáveis sem custo e obtenham benefícios indevidos através da venda.
O cerne do problema reside na falha do mecanismo de verificação de assinatura dos usuários na lista branca do contrato. O contrato não implementou duas medidas de segurança cruciais: garantir que as assinaturas da lista branca possam ser utilizadas apenas por usuários específicos e que cada assinatura possa ser utilizada apenas uma vez. Isso significa que um atacante pode reutilizar as assinaturas de outros usuários da lista branca para cunhar colecionáveis.
A partir do código do contrato público, é claro que a função verify, ao realizar a validação de assinaturas, não inclui o endereço do remetente no conteúdo da assinatura. Além disso, o contrato não implementou um mecanismo para evitar o uso múltiplo da mesma assinatura. Essas medidas de segurança deveriam ser conhecimentos básicos de desenvolvimento de software, mas foram ignoradas neste projeto amplamente divulgado.
Os especialistas da indústria expressaram choque e preocupação. Eles apontaram que é inacreditável que um nível tão alto de vulnerabilidade de segurança apareça em um projeto tão conhecido. Isso não apenas expõe a negligência da equipe do projeto no desenvolvimento e auditoria de contratos inteligentes, mas também destaca que toda a indústria ainda tem um longo caminho a percorrer em termos de práticas de segurança.
Este evento mais uma vez nos lembra que até mesmo as instituições mais grandes e confiáveis podem cometer erros básicos ao se aventurarem em novos campos tecnológicos. Para os participantes do mercado de colecionáveis digitais, isso é um alerta: antes de participar de qualquer projeto, é essencial realizar uma avaliação completa de sua base tecnológica e medidas de segurança.
Com a contínua expansão do mercado de colecionáveis digitais, problemas de segurança semelhantes podem ser cada vez mais expostos. Isso não apenas exige que os desenvolvedores do projeto fiquem alertas e reforcem as auditorias de segurança, mas também pede que toda a indústria estabeleça padrões de segurança mais elevados e melhores práticas. Só assim será possível realmente proteger os interesses dos usuários e promover o desenvolvimento saudável do mercado de colecionáveis digitais.