- Rubrique
55k Popularité
31k Popularité
9k Popularité
4k Popularité
4k Popularité
29k Popularité
16k Popularité
22k Popularité
12k Popularité
2k Popularité
- Épingler
55k Popularité
31k Popularité
9k Popularité
4k Popularité
4k Popularité
29k Popularité
16k Popularité
22k Popularité
12k Popularité
2k Popularité
Un important défaut de contrat a été révélé dans le projet de collection numérique de la célèbre ligue sportive.
Récemment, une célèbre ligue sportive a lancé un projet de collection numérique, mais a accidentellement exposé de graves vulnérabilités de contrat. Des chercheurs en sécurité ont découvert que les smart contracts du projet présentent des défauts majeurs, permettant à des utilisateurs non autorisés de minting des objets de collection sans coût et d'en tirer profit.
La racine de cette vulnérabilité réside dans l'imperfection du mécanisme de vérification des signatures des utilisateurs sur la liste blanche. La conception du contrat n'a pas réussi à garantir l'exclusivité et l'utilisation unique des signatures de la liste blanche, ce qui permet aux attaquants de réutiliser les signatures d'autres utilisateurs de la liste blanche pour le minting de collections.
D'un point de vue technique, la fonction verify dans le contrat présente des lacunes évidentes dans sa conception. Cette fonction n'inclut pas l'adresse de l'initiateur de la transaction dans la portée de la signature lors du processus de vérification, et elle manque également d'un mécanisme pour empêcher la réutilisation des signatures. Ces éléments devraient faire partie des connaissances fondamentales en matière de programmation sécurisée, mais ils ont été négligés dans ce projet.
Ce qui est encore plus déroutant, c'est qu'une telle vulnérabilité de sécurité aussi évidente se soit produite dans un grand projet très médiatisé. Cela expose non seulement la négligence de l'équipe du projet en matière de sécurité des smart contracts, mais cela a également suscité un nouvel intérêt dans l'industrie pour l'importance des audits de sécurité des projets blockchain.
Cet événement souligne à nouveau l'importance de respecter strictement les meilleures pratiques de sécurité lors du développement de projets blockchain. Pour tout projet, quelle que soit sa taille, en particulier pour les projets de haute visibilité impliquant un grand nombre d'utilisateurs et de fonds, la réalisation d'audits de sécurité complets et de vérifications multiples est une étape indispensable.
Cet événement a également sonné l'alarme pour l'ensemble de l'industrie, rappelant aux développeurs et aux équipes de projet qu'ils doivent accorder une plus grande attention à la sécurité des smart contracts. Tout en poursuivant l'innovation et l'efficacité, il est également important de s'assurer que les mesures de sécurité de base sont en place. À l'avenir, nous espérons voir davantage de projets effectuer des contrôles de sécurité plus stricts avant leur lancement, afin d'éviter la récurrence d'événements similaires.