Des contrats intelligents de collection numérique d'une célèbre ligue sportive présentent une vulnérabilité majeure. Le risque d'un minting à coût zéro suscite des inquiétudes.
Récemment, une célèbre ligue sportive a lancé une série de collections numériques, suscitant beaucoup de suivi. Cependant, au cours du processus de vente de ces collections, nous avons découvert un problème préoccupant : les smart contracts utilisés pour vendre ces collections numériques présentent de graves failles. Cette faille pourrait être exploitée par des individus malintentionnés, leur permettant de minting des collections à zéro coût et de les vendre pour en tirer des bénéfices indus.
La principale raison de cette vulnérabilité réside dans les défauts du mécanisme de vérification des signatures des utilisateurs sur la liste blanche dans le contrat. Plus précisément, le contrat n'a pas réussi à garantir l'exclusivité et l'utilisation unique des signatures de la liste blanche. Cela signifie que les attaquants peuvent réutiliser les signatures d'autres utilisateurs de la liste blanche pour le minting de collections, contournant ainsi les mécanismes de sécurité existants.
En analysant le code du contrat, nous avons découvert que la fonction verify présente des défauts de conception évidents. Cette fonction n'inclut pas l'adresse de l'expéditeur dans le processus de vérification de la signature, et elle n'implémente également aucun mécanisme pour s'assurer que chaque signature ne peut être utilisée qu'une seule fois. Ces mesures de sécurité auraient dû être des connaissances de base dans le développement de smart contracts, constituant une étape clé pour garantir la sécurité du système.
Il est surprenant qu'une vulnérabilité de sécurité aussi fondamentale se soit manifestée dans un projet aussi en vue. Cela révèle non seulement la négligence de l'équipe du projet en matière d'audit de sécurité, mais souligne également qu'il existe encore de nombreux risques dans la mise en œuvre technique du marché des objets numériques.
Cet événement nous rappelle encore une fois que, dans le domaine de la blockchain et des actifs numériques, la sécurité est toujours un facteur primordial. Quelle que soit l'échelle du projet, il est essentiel d'investir suffisamment de ressources dans des audits de sécurité complets pour s'assurer que chaque vulnérabilité potentielle est détectée et corrigée à temps. En même temps, cela avertit également les acheteurs de biens numériques de rester vigilants et de bien comprendre les risques potentiels lorsqu'ils participent à des activités connexes.
Pour les acteurs de l'industrie, ce cas souligne l'importance de l'apprentissage continu et de la mise à jour des connaissances en matière de sécurité. Avec l'évolution rapide de la technologie, de nouveaux défis de sécurité apparaissent constamment, et seule une vigilance constante et une amélioration continue des pratiques de sécurité peuvent réellement protéger les droits et la sécurité des actifs des utilisateurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
13 J'aime
Récompense
13
6
Partager
Commentaire
0/400
NFTArchaeologis
· Il y a 3m
Cette faille de signature dans ce projet d'un milliard est comparable à la fissure des briques de Qin et des tuiles de Han.
Voir l'originalRépondre0
MercilessHalal
· 08-04 20:44
Les parties au contrat sont des novices.
Voir l'originalRépondre0
GasFeeCrying
· 08-04 20:44
Encore une fois, il s'agit de l'Allowlist, et je ne peux pas gérer ça, haha.
Voir l'originalRépondre0
FOMOmonster
· 08-04 20:43
Allowlist signé peut-il aussi couper les coupons ? Ou regardons-nous juste le spectacle ?
Voir l'originalRépondre0
DegenGambler
· 08-04 20:40
Encore un gros scoop ! Il faut faire attention à l'Allowlist.
Des contrats intelligents de collection numérique d'une célèbre ligue sportive présentent une vulnérabilité majeure. Le risque d'un minting à coût zéro suscite des inquiétudes.
Récemment, une célèbre ligue sportive a lancé une série de collections numériques, suscitant beaucoup de suivi. Cependant, au cours du processus de vente de ces collections, nous avons découvert un problème préoccupant : les smart contracts utilisés pour vendre ces collections numériques présentent de graves failles. Cette faille pourrait être exploitée par des individus malintentionnés, leur permettant de minting des collections à zéro coût et de les vendre pour en tirer des bénéfices indus.
La principale raison de cette vulnérabilité réside dans les défauts du mécanisme de vérification des signatures des utilisateurs sur la liste blanche dans le contrat. Plus précisément, le contrat n'a pas réussi à garantir l'exclusivité et l'utilisation unique des signatures de la liste blanche. Cela signifie que les attaquants peuvent réutiliser les signatures d'autres utilisateurs de la liste blanche pour le minting de collections, contournant ainsi les mécanismes de sécurité existants.
En analysant le code du contrat, nous avons découvert que la fonction verify présente des défauts de conception évidents. Cette fonction n'inclut pas l'adresse de l'expéditeur dans le processus de vérification de la signature, et elle n'implémente également aucun mécanisme pour s'assurer que chaque signature ne peut être utilisée qu'une seule fois. Ces mesures de sécurité auraient dû être des connaissances de base dans le développement de smart contracts, constituant une étape clé pour garantir la sécurité du système.
Il est surprenant qu'une vulnérabilité de sécurité aussi fondamentale se soit manifestée dans un projet aussi en vue. Cela révèle non seulement la négligence de l'équipe du projet en matière d'audit de sécurité, mais souligne également qu'il existe encore de nombreux risques dans la mise en œuvre technique du marché des objets numériques.
Cet événement nous rappelle encore une fois que, dans le domaine de la blockchain et des actifs numériques, la sécurité est toujours un facteur primordial. Quelle que soit l'échelle du projet, il est essentiel d'investir suffisamment de ressources dans des audits de sécurité complets pour s'assurer que chaque vulnérabilité potentielle est détectée et corrigée à temps. En même temps, cela avertit également les acheteurs de biens numériques de rester vigilants et de bien comprendre les risques potentiels lorsqu'ils participent à des activités connexes.
Pour les acteurs de l'industrie, ce cas souligne l'importance de l'apprentissage continu et de la mise à jour des connaissances en matière de sécurité. Avec l'évolution rapide de la technologie, de nouveaux défis de sécurité apparaissent constamment, et seule une vigilance constante et une amélioration continue des pratiques de sécurité peuvent réellement protéger les droits et la sécurité des actifs des utilisateurs.