NBA最近发行了数字藏品,然而我们发现,其售卖数字藏品的合约存在非常严重的漏洞。攻击者(“科学家”)可以通过漏洞无成本铸造藏品然后出售获利。
Uniswap基金会:将在未来几周讨论如何部署超437万枚ARB:金色财经报道,Uniswap 基金会表示将把 Arbitrum 分配的 4,378,188 枚 ARB 发送到 Arbitrum 上 Uniswap 基金会拥有的多重签名地址(90xF4E08 开头),接下来几周将启动关于如何部署这些资金的社区讨论。[2023/4/18 14:11:14]
漏洞的成因在于对白名单用户的签名校验有安全问题。具体来说,合约没有保证白名单签名只能被特定用户使用而且只能使用一次。因此,攻击者可以重用其他白名单用户签名铸造藏品。
《“区块链+”如何重构内容产业生态》获第三十一届中国新闻奖三等奖:金色财经报道,人民日报(2021年11月08日 第?17版)发布第三十一届中国新闻奖获奖作品目录,《“区块链+”如何重构内容产业生态》获第三十一届中国新闻奖三等奖,刊播单位:新闻与写作?,报送单位:北京记协。[2021/11/8 6:37:41]
声音 | 新加坡金管局高管:金管局正在研究如何通过监管应对加密货币带来的风险:据Finance Magnates消息,新加坡金融管理局(MAS)高管Damien Pang在本周四举行的年度金融科技联合大会上表示,许多监管机构和行业人士呼吁以自上而下的方式对加密货币行业进行监管。金管局正在研究加密货币带来的风险,以及如何通过监管来予以应对。 Pang称:“我们绝对需要监管加密货币,这是为了正确应对风险。例如使用加密货币为恐怖主义融资等,这是我们需要解决的问题。因此,问题不在于加密货币是否应该受到监管,而是关于(区块链)技术所带来的风险,以及我们如何在不对整个加密货币行业一网打尽的情况下,试图减轻这些风险。”[2019/6/27]
从代码我们可以看出,verify 函数并没有将发送者地址放到签名中。另外,也没有机制保证该签名只能被使用一次。我们认为这一些安全实践是最基本的软件安全入门知识。我们非常惊讶这样的漏洞居然出现在非常知名的项目里面。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。