Un projet de collection numérique sportif bien connu a révélé une grave vulnérabilité des smart contracts, alertant sur la prise de conscience de la sécurité dans l'industrie.
Récemment, une importante émission de collections numériques sportives a suscité un large intérêt dans l'industrie. Cependant, certains experts en sécurité ont découvert de graves vulnérabilités dans les smart contracts de ce projet, qui pourraient être exploitées par des personnes malveillantes pour procéder à du minting sans frais et à des profits.
Cette vulnérabilité provient principalement d'une conception inappropriée du mécanisme de vérification des signatures des utilisateurs de la liste blanche. Le contrat n'a pas réussi à garantir l'exclusivité et l'utilisation unique des signatures de la liste blanche. Par conséquent, des attaquants potentiels pourraient réutiliser les signatures d'autres utilisateurs de la liste blanche pour le minting de collections.
D'après le code de contrat public, il est clair que la fonction verify présente des défauts de conception évidents. Tout d'abord, elle n'inclut pas l'adresse de l'expéditeur de la transaction dans le processus de vérification de la signature. Ensuite, elle manque de mécanisme pour prévenir la réutilisation des signatures. Ces éléments devraient être des pratiques de sécurité de base dans le développement de smart contracts, relevant des connaissances de base en sécurité logicielle.
Il est surprenant qu'une telle vulnérabilité de sécurité de base apparaisse dans un projet majeur très en vue. Cela met non seulement en évidence la négligence de l'équipe du projet en matière d'audit de sécurité des contrats, mais souligne également le long chemin qu'il reste à parcourir pour la normalisation du développement de smart contracts et la sensibilisation à la sécurité dans l'ensemble de l'industrie.
Cet événement nous rappelle une fois de plus que, quelle que soit la taille ou l'impact d'un projet, la sécurité doit toujours être la priorité dans le domaine de la blockchain et des actifs numériques. Pour les développeurs, il est essentiel de suivre strictement les meilleures pratiques de sécurité, de réaliser des audits de code complets et des tests de vulnérabilité. Pour les utilisateurs, avant de participer à tout projet d'actifs numériques, il est également important de rester vigilant quant à sa sécurité et de procéder aux enquêtes et évaluations nécessaires.
À l'avenir, avec la maturation continue de l'industrie, nous espérons voir davantage de porteurs de projets, de développeurs et d'experts en sécurité travailler ensemble pour établir des normes de développement et d'audit des smart contracts plus solides, afin d'assurer la sécurité et le développement durable de l'écosystème des actifs numériques.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
13 J'aime
Récompense
13
7
Partager
Commentaire
0/400
TheMemefather
· Il y a 11h
prendre les gens pour des idiots une fois puis s'en aller, les utilisateurs ont déjà tout compris.
Voir l'originalRépondre0
DefiPlaybook
· Il y a 11h
Selon une analyse d'un grand nombre d'échantillons de projets, les problèmes de renouvellement des contrats peuvent entraîner des pertes financières allant jusqu'à 65,8 %.
Voir l'originalRépondre0
RugpullSurvivor
· Il y a 11h
Il fait encore sombre, de bons jours sont encore à venir.
Voir l'originalRépondre0
MetaMisery
· Il y a 11h
Cette conscience de sécurité est vraiment trop basse.
Voir l'originalRépondre0
ReverseFOMOguy
· Il y a 11h
Les signatures de l'Allowlist peuvent toutes avoir des vulnérabilités. De la boue ne peut pas soutenir un mur.
Voir l'originalRépondre0
ShibaOnTheRun
· Il y a 11h
Encore un flash crash prévu, n'est-ce pas ?
Voir l'originalRépondre0
Hash_Bandit
· Il y a 12h
tout comme le minage en 2013... sécurité zero hashrate smh
Un projet de collection numérique sportif bien connu a révélé une grave vulnérabilité des smart contracts, alertant sur la prise de conscience de la sécurité dans l'industrie.
Récemment, une importante émission de collections numériques sportives a suscité un large intérêt dans l'industrie. Cependant, certains experts en sécurité ont découvert de graves vulnérabilités dans les smart contracts de ce projet, qui pourraient être exploitées par des personnes malveillantes pour procéder à du minting sans frais et à des profits.
Cette vulnérabilité provient principalement d'une conception inappropriée du mécanisme de vérification des signatures des utilisateurs de la liste blanche. Le contrat n'a pas réussi à garantir l'exclusivité et l'utilisation unique des signatures de la liste blanche. Par conséquent, des attaquants potentiels pourraient réutiliser les signatures d'autres utilisateurs de la liste blanche pour le minting de collections.
D'après le code de contrat public, il est clair que la fonction verify présente des défauts de conception évidents. Tout d'abord, elle n'inclut pas l'adresse de l'expéditeur de la transaction dans le processus de vérification de la signature. Ensuite, elle manque de mécanisme pour prévenir la réutilisation des signatures. Ces éléments devraient être des pratiques de sécurité de base dans le développement de smart contracts, relevant des connaissances de base en sécurité logicielle.
Il est surprenant qu'une telle vulnérabilité de sécurité de base apparaisse dans un projet majeur très en vue. Cela met non seulement en évidence la négligence de l'équipe du projet en matière d'audit de sécurité des contrats, mais souligne également le long chemin qu'il reste à parcourir pour la normalisation du développement de smart contracts et la sensibilisation à la sécurité dans l'ensemble de l'industrie.
Cet événement nous rappelle une fois de plus que, quelle que soit la taille ou l'impact d'un projet, la sécurité doit toujours être la priorité dans le domaine de la blockchain et des actifs numériques. Pour les développeurs, il est essentiel de suivre strictement les meilleures pratiques de sécurité, de réaliser des audits de code complets et des tests de vulnérabilité. Pour les utilisateurs, avant de participer à tout projet d'actifs numériques, il est également important de rester vigilant quant à sa sécurité et de procéder aux enquêtes et évaluations nécessaires.
À l'avenir, avec la maturation continue de l'industrie, nous espérons voir davantage de porteurs de projets, de développeurs et d'experts en sécurité travailler ensemble pour établir des normes de développement et d'audit des smart contracts plus solides, afin d'assurer la sécurité et le développement durable de l'écosystème des actifs numériques.