Conocido proyecto de coleccionables digitales de la alianza presenta una vulnerabilidad importante, la verificación de firmas en la lista de permitidos tiene defectos.
Recientemente, una conocida liga deportiva lanzó un proyecto de coleccionables digitales, pero el contrato inteligente detrás de este proyecto expone serias vulnerabilidades de seguridad. Expertos técnicos han descubierto que el contrato presenta fallos importantes, que permiten a usuarios malintencionados acuñar una gran cantidad de coleccionables sin costo alguno y obtener beneficios de ello.
La raíz de esta vulnerabilidad reside en la falla del mecanismo de verificación de firmas de usuarios en la lista blanca en el contrato. En concreto, el contrato no garantiza la unicidad y exclusividad de las firmas de la lista blanca, lo que permite a los atacantes reutilizar las firmas de otros usuarios en la lista blanca para acuñar coleccionables.
Al analizar el código del contrato, se puede observar que la función verify no considera la dirección del remitente al validar la firma. Lo que es aún más preocupante es que el contrato tampoco ha establecido un mecanismo para limitar el uso único de la firma. Estas prácticas, que deberían considerarse medidas de seguridad básicas, han sido ignoradas, lo que hace cuestionar la capacidad técnica del equipo del proyecto.
La aparición de vulnerabilidades de seguridad de este nivel en un proyecto tan destacado es realmente sorprendente. No solo expone la negligencia del equipo de desarrollo del proyecto en la seguridad de los contratos inteligentes, sino que también destaca que la industria de blockchain aún tiene un largo camino por recorrer en términos de auditoría de código y prácticas de seguridad.
Este evento nos recuerda una vez más que incluso los proyectos de gran renombre pueden tener defectos técnicos graves. Para los desarrolladores que participan en proyectos de blockchain, seguir estrictamente las mejores prácticas de seguridad, realizar auditorías de código exhaustivas y contratar a un equipo de seguridad profesional para detectar vulnerabilidades son pasos indispensables.
Para los usuarios comunes, este caso también ha sonado la alarma. Al participar en cualquier proyecto de blockchain, especialmente aquellos que involucran activos digitales, es imprescindible mantener la precaución, comprender bien el trasfondo técnico del proyecto y las medidas de seguridad. Al mismo tiempo, también se deben tener en cuenta las advertencias y los informes de análisis publicados por reconocidas instituciones de seguridad en la industria, para poder conocer a tiempo los riesgos potenciales.
En general, este evento no solo expuso problemas específicos de ciertos proyectos, sino que también destacó la necesidad urgente de mejorar en el desarrollo de contratos inteligentes y la gestión de seguridad en toda la industria. Esperamos que, a través de estas lecciones, se pueda impulsar el ecosistema de blockchain hacia una dirección más segura y confiable.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
4
Republicar
Compartir
Comentar
0/400
FlatTax
· hace19h
Hacer una lista de permitidos y ya está.
Ver originalesResponder0
Web3ProductManager
· 08-12 19:36
smh... error de novato en su token-gating. esto es literalmente seguridad web3 101
Ver originalesResponder0
GovernancePretender
· 08-12 19:36
Otra vez hay gente haciendo transacciones falsas, nunca aprenderán.
Ver originalesResponder0
ZKProofster
· 08-12 19:22
técnicamente... hora de aficionados con la validación de firmas. smh ante estos errores de novato
Conocido proyecto de coleccionables digitales de la alianza presenta una vulnerabilidad importante, la verificación de firmas en la lista de permitidos tiene defectos.
Recientemente, una conocida liga deportiva lanzó un proyecto de coleccionables digitales, pero el contrato inteligente detrás de este proyecto expone serias vulnerabilidades de seguridad. Expertos técnicos han descubierto que el contrato presenta fallos importantes, que permiten a usuarios malintencionados acuñar una gran cantidad de coleccionables sin costo alguno y obtener beneficios de ello.
La raíz de esta vulnerabilidad reside en la falla del mecanismo de verificación de firmas de usuarios en la lista blanca en el contrato. En concreto, el contrato no garantiza la unicidad y exclusividad de las firmas de la lista blanca, lo que permite a los atacantes reutilizar las firmas de otros usuarios en la lista blanca para acuñar coleccionables.
Al analizar el código del contrato, se puede observar que la función verify no considera la dirección del remitente al validar la firma. Lo que es aún más preocupante es que el contrato tampoco ha establecido un mecanismo para limitar el uso único de la firma. Estas prácticas, que deberían considerarse medidas de seguridad básicas, han sido ignoradas, lo que hace cuestionar la capacidad técnica del equipo del proyecto.
La aparición de vulnerabilidades de seguridad de este nivel en un proyecto tan destacado es realmente sorprendente. No solo expone la negligencia del equipo de desarrollo del proyecto en la seguridad de los contratos inteligentes, sino que también destaca que la industria de blockchain aún tiene un largo camino por recorrer en términos de auditoría de código y prácticas de seguridad.
Este evento nos recuerda una vez más que incluso los proyectos de gran renombre pueden tener defectos técnicos graves. Para los desarrolladores que participan en proyectos de blockchain, seguir estrictamente las mejores prácticas de seguridad, realizar auditorías de código exhaustivas y contratar a un equipo de seguridad profesional para detectar vulnerabilidades son pasos indispensables.
Para los usuarios comunes, este caso también ha sonado la alarma. Al participar en cualquier proyecto de blockchain, especialmente aquellos que involucran activos digitales, es imprescindible mantener la precaución, comprender bien el trasfondo técnico del proyecto y las medidas de seguridad. Al mismo tiempo, también se deben tener en cuenta las advertencias y los informes de análisis publicados por reconocidas instituciones de seguridad en la industria, para poder conocer a tiempo los riesgos potenciales.
En general, este evento no solo expuso problemas específicos de ciertos proyectos, sino que también destacó la necesidad urgente de mejorar en el desarrollo de contratos inteligentes y la gestión de seguridad en toda la industria. Esperamos que, a través de estas lecciones, se pueda impulsar el ecosistema de blockchain hacia una dirección más segura y confiable.