Se descubre una grave vulnerabilidad de seguridad en el contrato de coleccionables digitales de la NBA, el mecanismo de verificación de la Lista de permitidos presenta defectos.
Recientemente, la NBA lanzó una serie de coleccionables digitales, pero tras un análisis profundo, descubrimos que su contrato de venta presenta graves riesgos de seguridad. Esta vulnerabilidad permite a los usuarios malintencionados acuñar coleccionables sin costo y obtener beneficios indebidos a través de la venta.
La raíz del problema radica en el defecto del mecanismo de verificación de firma de usuarios en la lista blanca. El contrato no logró asegurar la exclusividad y el uso único de las firmas de la lista blanca, lo que permitió a los atacantes reutilizar las firmas de otros usuarios en la lista blanca para acuñar coleccionables.
A partir del código del contrato, se puede ver claramente que la función de verificación no incluye la dirección del iniciador de la transacción en el contenido de la firma. Al mismo tiempo, también carece de un mecanismo para evitar el uso repetido de la firma. Estas medidas de seguridad básicas deberían ser conocimientos comunes en el desarrollo de software.
Es sorprendente que una vulnerabilidad tan obvia aparezca en un proyecto tan destacado. Esto no solo expone la negligencia del equipo del proyecto en la auditoría de seguridad, sino que también resalta los desafíos que enfrentan los proyectos de blockchain en cuanto a la seguridad del código.
Este evento nos recuerda una vez más que incluso los proyectos de gran escala y alta notoriedad pueden tener vulnerabilidades de seguridad fundamentales. Para los proyectos de blockchain, la auditoría de seguridad del código y la detección continua de vulnerabilidades son especialmente importantes. Al mismo tiempo, esto también ha sonado la alarma para toda la industria, instando a todas las partes a prestar más atención a la construcción de la seguridad de los contratos inteligentes.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
6
Republicar
Compartir
Comentar
0/400
GasFeeThunder
· hace8h
Otra versión recreada del 12 de abril, a pesar de tener los datos, sigue siendo un desastre.
Ver originalesResponder0
ChainDetective
· hace14h
Tsk, este tipo de bug de nivel novato también puede salir en producción.
Ver originalesResponder0
WhaleSurfer
· hace14h
No se atreve a aceptar este pedido de la NBA sin saber desarrollar.
Ver originalesResponder0
RugPullAlarm
· hace14h
Entonces solo se trata de practicar con tontos, ni siquiera se ha hecho una auditoría básica.
Ver originalesResponder0
BlockchainGriller
· hace15h
Mira con atención, los demás son engañados y los tontos son engañados.
Ver originalesResponder0
OnchainHolmes
· hace15h
Originalmente, la lista de permitidos se puede copiar y pegar. Con manos se puede tomar a la gente por tonta.
Se descubre una grave vulnerabilidad de seguridad en el contrato de coleccionables digitales de la NBA, el mecanismo de verificación de la Lista de permitidos presenta defectos.
Recientemente, la NBA lanzó una serie de coleccionables digitales, pero tras un análisis profundo, descubrimos que su contrato de venta presenta graves riesgos de seguridad. Esta vulnerabilidad permite a los usuarios malintencionados acuñar coleccionables sin costo y obtener beneficios indebidos a través de la venta.
La raíz del problema radica en el defecto del mecanismo de verificación de firma de usuarios en la lista blanca. El contrato no logró asegurar la exclusividad y el uso único de las firmas de la lista blanca, lo que permitió a los atacantes reutilizar las firmas de otros usuarios en la lista blanca para acuñar coleccionables.
A partir del código del contrato, se puede ver claramente que la función de verificación no incluye la dirección del iniciador de la transacción en el contenido de la firma. Al mismo tiempo, también carece de un mecanismo para evitar el uso repetido de la firma. Estas medidas de seguridad básicas deberían ser conocimientos comunes en el desarrollo de software.
Es sorprendente que una vulnerabilidad tan obvia aparezca en un proyecto tan destacado. Esto no solo expone la negligencia del equipo del proyecto en la auditoría de seguridad, sino que también resalta los desafíos que enfrentan los proyectos de blockchain en cuanto a la seguridad del código.
Este evento nos recuerda una vez más que incluso los proyectos de gran escala y alta notoriedad pueden tener vulnerabilidades de seguridad fundamentales. Para los proyectos de blockchain, la auditoría de seguridad del código y la detección continua de vulnerabilidades son especialmente importantes. Al mismo tiempo, esto también ha sonado la alarma para toda la industria, instando a todas las partes a prestar más atención a la construcción de la seguridad de los contratos inteligentes.