Projeto de colecionáveis digitais de aliança conhecida apresenta uma grande vulnerabilidade. A verificação de assinatura da lista de permissões tem falhas.
Recentemente, uma conhecida liga desportiva lançou um projeto de colecionáveis digitais, mas o contrato inteligente por trás dele expôs sérias vulnerabilidades de segurança. Especialistas técnicos descobriram que o contrato apresenta uma falha significativa, permitindo que usuários mal-intencionados cunhem uma grande quantidade de colecionáveis sem custo e lucrem com isso.
A raiz desta vulnerabilidade reside na falha do mecanismo de verificação de assinatura de usuários da lista branca no contrato. Especificamente, o contrato não conseguiu garantir a exclusividade e a propriedade das assinaturas da lista branca, permitindo que atacantes reutilizassem as assinaturas de outros usuários da lista branca para a cunhagem de colecionáveis.
Ao analisar o código do contrato, pode-se perceber que a função verify não considera o endereço do remetente ao validar a assinatura. O que é ainda mais preocupante é que o contrato também não estabelece mecanismos para limitar o uso único da assinatura. Essas práticas, que deveriam ser medidas de segurança básicas, foram ignoradas, levantando dúvidas sobre a capacidade técnica da equipe do projeto.
É realmente surpreendente que vulnerabilidades de segurança desse nível apareçam em projetos tão proeminentes. Isso não apenas expõe a negligência da equipe de desenvolvimento do projeto em relação à segurança de contratos inteligentes, mas também destaca que a indústria de blockchain ainda tem um longo caminho a percorrer em termos de auditoria de código e práticas de segurança.
Este evento lembra-nos novamente que, mesmo os projetos de grande notoriedade, podem ter graves falhas técnicas. Para os desenvolvedores que participam de projetos de blockchain, seguir rigorosamente as melhores práticas de segurança, realizar auditorias de código abrangentes e contratar equipes de segurança profissionais para a detecção de vulnerabilidades, são passos indispensáveis.
Para os usuários comuns, este caso também soou o alarme. Ao participar de qualquer projeto de blockchain, especialmente aqueles que envolvem ativos digitais, é essencial manter a cautela e compreender plenamente o contexto técnico e as medidas de segurança do projeto. Ao mesmo tempo, é importante prestar atenção aos alertas e relatórios analíticos emitidos por instituições de segurança reconhecidas na indústria, para se manter informado sobre os riscos potenciais.
De um modo geral, este evento não só expôs problemas específicos de determinados projetos, mas também destacou a necessidade urgente de melhorar o desenvolvimento de contratos inteligentes e a gestão de segurança em toda a indústria. Esperamos que lições como esta possam impulsionar todo o ecossistema de blockchain em direção a um desenvolvimento mais seguro e confiável.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
16 gostos
Recompensa
16
4
Republicar
Partilhar
Comentar
0/400
FlatTax
· 08-14 06:56
Fazer uma lista de permissões e está feito.
Ver originalResponder0
Web3ProductManager
· 08-12 19:36
smh... erro de principiante na sua token-gating. isto é literalmente segurança web3 101
Ver originalResponder0
GovernancePretender
· 08-12 19:36
Já há pessoas a fazer branquear a lista novamente, nunca aprendem.
Ver originalResponder0
ZKProofster
· 08-12 19:22
tecnicamente... hora de amador com a validação de assinatura. smh com esses erros de novato
Projeto de colecionáveis digitais de aliança conhecida apresenta uma grande vulnerabilidade. A verificação de assinatura da lista de permissões tem falhas.
Recentemente, uma conhecida liga desportiva lançou um projeto de colecionáveis digitais, mas o contrato inteligente por trás dele expôs sérias vulnerabilidades de segurança. Especialistas técnicos descobriram que o contrato apresenta uma falha significativa, permitindo que usuários mal-intencionados cunhem uma grande quantidade de colecionáveis sem custo e lucrem com isso.
A raiz desta vulnerabilidade reside na falha do mecanismo de verificação de assinatura de usuários da lista branca no contrato. Especificamente, o contrato não conseguiu garantir a exclusividade e a propriedade das assinaturas da lista branca, permitindo que atacantes reutilizassem as assinaturas de outros usuários da lista branca para a cunhagem de colecionáveis.
Ao analisar o código do contrato, pode-se perceber que a função verify não considera o endereço do remetente ao validar a assinatura. O que é ainda mais preocupante é que o contrato também não estabelece mecanismos para limitar o uso único da assinatura. Essas práticas, que deveriam ser medidas de segurança básicas, foram ignoradas, levantando dúvidas sobre a capacidade técnica da equipe do projeto.
É realmente surpreendente que vulnerabilidades de segurança desse nível apareçam em projetos tão proeminentes. Isso não apenas expõe a negligência da equipe de desenvolvimento do projeto em relação à segurança de contratos inteligentes, mas também destaca que a indústria de blockchain ainda tem um longo caminho a percorrer em termos de auditoria de código e práticas de segurança.
Este evento lembra-nos novamente que, mesmo os projetos de grande notoriedade, podem ter graves falhas técnicas. Para os desenvolvedores que participam de projetos de blockchain, seguir rigorosamente as melhores práticas de segurança, realizar auditorias de código abrangentes e contratar equipes de segurança profissionais para a detecção de vulnerabilidades, são passos indispensáveis.
Para os usuários comuns, este caso também soou o alarme. Ao participar de qualquer projeto de blockchain, especialmente aqueles que envolvem ativos digitais, é essencial manter a cautela e compreender plenamente o contexto técnico e as medidas de segurança do projeto. Ao mesmo tempo, é importante prestar atenção aos alertas e relatórios analíticos emitidos por instituições de segurança reconhecidas na indústria, para se manter informado sobre os riscos potenciais.
De um modo geral, este evento não só expôs problemas específicos de determinados projetos, mas também destacou a necessidade urgente de melhorar o desenvolvimento de contratos inteligentes e a gestão de segurança em toda a indústria. Esperamos que lições como esta possam impulsionar todo o ecossistema de blockchain em direção a um desenvolvimento mais seguro e confiável.