Récemment, une vulnérabilité de sécurité impliquant des collections numériques d'une célèbre ligue sportive a suscité l'attention du secteur. Des experts en sécurité ont découvert que les smart contracts utilisés par la ligue pour vendre des collections numériques présentaient des défauts majeurs, permettant à des attaquants potentiels de minting des objets de collection sans coût et d'en tirer profit.
La source de cette vulnérabilité réside dans le mécanisme de vérification des signatures des utilisateurs sur la liste blanche par le contrat. Plus précisément, le contrat n'a pas réussi à garantir l'exclusivité et l'utilisation unique des signatures de la liste blanche. Cela signifie qu'un attaquant peut réutiliser les signatures d'autres utilisateurs de la liste blanche pour le minting de collections.
En analysant le code du contrat, les experts ont souligné deux problèmes clés : tout d'abord, la fonction verify n'inclut pas l'adresse de l'expéditeur lors du processus de vérification de la signature ; ensuite, il manque un mécanisme pour empêcher l'utilisation multiple de la signature. Ces éléments sont considérés comme des pratiques de sécurité logicielle fondamentales et devraient être pris en compte lors du processus de développement.
Les experts en sécurité sont choqués de voir une faille aussi basique apparaître dans un projet de haute notoriété. Ils soulignent que ce type de faille de sécurité menace non seulement le projet lui-même, mais peut également avoir un impact négatif sur la réputation de l'ensemble du marché des objets numériques.
Cet événement met à nouveau en lumière l'importance d'effectuer un audit de sécurité complet dans le développement de projets blockchain, en particulier ceux impliquant des transactions financières et des smart contracts. Il rappelle également aux équipes de projet et aux développeurs qu'ils doivent rester vigilants, car même des fonctionnalités apparemment simples peuvent cacher des risques de sécurité majeurs.
Les acteurs de l'industrie appellent, avec le développement rapide du marché des collections numériques, les projets concernés à accorder plus d'importance à la sécurité, en adoptant des processus rigoureux de révision et de test de code, afin de protéger les intérêts des utilisateurs et de maintenir une développement sain et durable de l'industrie.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
19 J'aime
Récompense
19
4
Partager
Commentaire
0/400
RugPullAlarm
· Il y a 1h
Encore un projet de troisième niveau qui ne vérifie même pas l'Adresse. J'ai regardé les données off-chain, au moins 330 000 d'actifs sont en risque.
Voir l'originalRépondre0
MemeEchoer
· Il y a 5h
Tu trébuches même en marchant, n'est-ce pas ?
Voir l'originalRépondre0
DegenDreamer
· 08-03 00:36
Encore un autodidacte écrivant des smart contracts ?
Voir l'originalRépondre0
down_only_larry
· 08-03 00:27
C'est ça qu'on appelle un grand projet ? N'importe quoi.
Une vulnérabilité de sécurité majeure permet d'attaquer les smart contracts des actifs numériques sans coût.
Récemment, une vulnérabilité de sécurité impliquant des collections numériques d'une célèbre ligue sportive a suscité l'attention du secteur. Des experts en sécurité ont découvert que les smart contracts utilisés par la ligue pour vendre des collections numériques présentaient des défauts majeurs, permettant à des attaquants potentiels de minting des objets de collection sans coût et d'en tirer profit.
La source de cette vulnérabilité réside dans le mécanisme de vérification des signatures des utilisateurs sur la liste blanche par le contrat. Plus précisément, le contrat n'a pas réussi à garantir l'exclusivité et l'utilisation unique des signatures de la liste blanche. Cela signifie qu'un attaquant peut réutiliser les signatures d'autres utilisateurs de la liste blanche pour le minting de collections.
En analysant le code du contrat, les experts ont souligné deux problèmes clés : tout d'abord, la fonction verify n'inclut pas l'adresse de l'expéditeur lors du processus de vérification de la signature ; ensuite, il manque un mécanisme pour empêcher l'utilisation multiple de la signature. Ces éléments sont considérés comme des pratiques de sécurité logicielle fondamentales et devraient être pris en compte lors du processus de développement.
Les experts en sécurité sont choqués de voir une faille aussi basique apparaître dans un projet de haute notoriété. Ils soulignent que ce type de faille de sécurité menace non seulement le projet lui-même, mais peut également avoir un impact négatif sur la réputation de l'ensemble du marché des objets numériques.
Cet événement met à nouveau en lumière l'importance d'effectuer un audit de sécurité complet dans le développement de projets blockchain, en particulier ceux impliquant des transactions financières et des smart contracts. Il rappelle également aux équipes de projet et aux développeurs qu'ils doivent rester vigilants, car même des fonctionnalités apparemment simples peuvent cacher des risques de sécurité majeurs.
Les acteurs de l'industrie appellent, avec le développement rapide du marché des collections numériques, les projets concernés à accorder plus d'importance à la sécurité, en adoptant des processus rigoureux de révision et de test de code, afin de protéger les intérêts des utilisateurs et de maintenir une développement sain et durable de l'industrie.