Un projet de collection numérique d'alliance bien connu présente une grave vulnérabilité : le processus de vérification de signature de l'allowlist présente des défauts.
Récemment, une célèbre ligue sportive a lancé un projet de collections numériques, mais le smart contract qui le sous-tend a révélé de graves failles de sécurité. Des experts techniques ont découvert que ce contrat présentait des vulnérabilités majeures, permettant à des utilisateurs malveillants de minting de grandes quantités de collections sans frais et d'en tirer profit.
La racine de cette vulnérabilité réside dans le défaut du mécanisme de vérification des signatures des utilisateurs sur la liste blanche par le contrat. Plus précisément, le contrat n'a pas réussi à garantir l'unicité et l'exclusivité des signatures de la liste blanche, ce qui a permis aux attaquants de réutiliser les signatures d'autres utilisateurs de la liste blanche pour le minting de collections.
En analysant le code du contrat, on peut constater que la fonction verify ne prend pas en compte l'adresse de l'expéditeur lors de la vérification de la signature. Ce qui est encore plus inquiétant, c'est que le contrat n'a pas mis en place de mécanisme pour limiter l'utilisation unique de la signature. Ces pratiques, qui devraient être des mesures de sécurité de base, ont été négligées, ce qui soulève des doutes sur les compétences techniques de l'équipe du projet.
Des vulnérabilités de sécurité de ce niveau apparaissant dans des projets aussi en vue sont vraiment surprenantes. Cela met non seulement en lumière la négligence de l'équipe de développement du projet en matière de sécurité des smart contracts, mais souligne également le long chemin qu'il reste à parcourir pour l'industrie de la blockchain en matière d'audit de code et de pratiques de sécurité.
Cet événement nous rappelle une fois de plus que même les projets très connus peuvent présenter des défauts techniques graves. Pour les développeurs participant à des projets de blockchain, il est essentiel de respecter rigoureusement les meilleures pratiques en matière de sécurité, de procéder à des audits de code complets et d'engager des équipes de sécurité professionnelles pour la détection des vulnérabilités.
Pour les utilisateurs ordinaires, ce cas a également sonné l'alarme. Lors de la participation à tout projet blockchain, en particulier ceux impliquant des actifs numériques, il est impératif de rester prudent, de bien comprendre le contexte technique et les mesures de sécurité du projet. En outre, il est important de prêter attention aux avertissements et aux rapports d'analyse publiés par des institutions de sécurité reconnues dans l'industrie, afin de rester informé des risques potentiels.
Dans l'ensemble, cet événement a non seulement exposé les problèmes de certains projets, mais a également mis en évidence la nécessité d'améliorer le développement des smart contracts et la gestion de la sécurité dans l'ensemble de l'industrie. Nous espérons qu'à travers de telles leçons, nous pourrons encourager l'ensemble de l'écosystème blockchain à évoluer vers une direction plus sûre et plus fiable.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
4
Reposter
Partager
Commentaire
0/400
FlatTax
· Il y a 13h
Faites juste une Allowlist et c'est tout.
Voir l'originalRépondre0
Web3ProductManager
· 08-12 19:36
smh... erreur de débutant sur leur système de token-gating. c'est littéralement la sécurité web3 101
Voir l'originalRépondre0
GovernancePretender
· 08-12 19:36
Encore quelqu'un a utilisé un faux compte, il n'apprendra jamais.
Voir l'originalRépondre0
ZKProofster
· 08-12 19:22
techniquement... une heure d'amateur avec la validation des signatures. smh devant ces erreurs de débutants
Un projet de collection numérique d'alliance bien connu présente une grave vulnérabilité : le processus de vérification de signature de l'allowlist présente des défauts.
Récemment, une célèbre ligue sportive a lancé un projet de collections numériques, mais le smart contract qui le sous-tend a révélé de graves failles de sécurité. Des experts techniques ont découvert que ce contrat présentait des vulnérabilités majeures, permettant à des utilisateurs malveillants de minting de grandes quantités de collections sans frais et d'en tirer profit.
La racine de cette vulnérabilité réside dans le défaut du mécanisme de vérification des signatures des utilisateurs sur la liste blanche par le contrat. Plus précisément, le contrat n'a pas réussi à garantir l'unicité et l'exclusivité des signatures de la liste blanche, ce qui a permis aux attaquants de réutiliser les signatures d'autres utilisateurs de la liste blanche pour le minting de collections.
En analysant le code du contrat, on peut constater que la fonction verify ne prend pas en compte l'adresse de l'expéditeur lors de la vérification de la signature. Ce qui est encore plus inquiétant, c'est que le contrat n'a pas mis en place de mécanisme pour limiter l'utilisation unique de la signature. Ces pratiques, qui devraient être des mesures de sécurité de base, ont été négligées, ce qui soulève des doutes sur les compétences techniques de l'équipe du projet.
Des vulnérabilités de sécurité de ce niveau apparaissant dans des projets aussi en vue sont vraiment surprenantes. Cela met non seulement en lumière la négligence de l'équipe de développement du projet en matière de sécurité des smart contracts, mais souligne également le long chemin qu'il reste à parcourir pour l'industrie de la blockchain en matière d'audit de code et de pratiques de sécurité.
Cet événement nous rappelle une fois de plus que même les projets très connus peuvent présenter des défauts techniques graves. Pour les développeurs participant à des projets de blockchain, il est essentiel de respecter rigoureusement les meilleures pratiques en matière de sécurité, de procéder à des audits de code complets et d'engager des équipes de sécurité professionnelles pour la détection des vulnérabilités.
Pour les utilisateurs ordinaires, ce cas a également sonné l'alarme. Lors de la participation à tout projet blockchain, en particulier ceux impliquant des actifs numériques, il est impératif de rester prudent, de bien comprendre le contexte technique et les mesures de sécurité du projet. En outre, il est important de prêter attention aux avertissements et aux rapports d'analyse publiés par des institutions de sécurité reconnues dans l'industrie, afin de rester informé des risques potentiels.
Dans l'ensemble, cet événement a non seulement exposé les problèmes de certains projets, mais a également mis en évidence la nécessité d'améliorer le développement des smart contracts et la gestion de la sécurité dans l'ensemble de l'industrie. Nous espérons qu'à travers de telles leçons, nous pourrons encourager l'ensemble de l'écosystème blockchain à évoluer vers une direction plus sûre et plus fiable.