NBA最近发行了数字藏品,然而我们发现,其售卖数字藏品的合约存在非常严重的漏洞。攻击者(“科学家”)可以通过漏洞无成本铸造藏品然后出售获利。
CertiK:pandorachainDAO项目遭受闪电贷攻击:金色财经报道,据CertiK安全团队监测,北京时间2022年6月22日19:52:57,pandorachainDAO项目遭受闪电贷攻击,导致了价值约12.8万美元的资产损失。[2022/6/23 1:25:12]
漏洞的成因在于对白名单用户的签名校验有安全问题。具体来说,合约没有保证白名单签名只能被特定用户使用而且只能使用一次。因此,攻击者可以重用其他白名单用户签名铸造藏品。
BNB Grant DAO Round-1正式结束,6大赛道冠军公布:5月31日消息,由BNB Chain和DoraHacks联合主办的Revelation:BNB Chain全球黑客松暨BNB长期Grant Round-1正式落下帷幕。本次黑客松共有216支团队和项目通过报名审核,共同角逐由BNB生态顶尖项目与VC提供的百万美元二次方奖金池、Bounty及1000万美金种子基金。
最终6个项目通过评委评选获得了各自赛道的冠军,他们分别是:Frontier Tech前沿科技赛道 - CyptoSat,Innovative Infrastructure创新基础设施赛道 - Zecrey,Blockchain for Good区块链公益赛道:Aquari,DAOs/dCommunities去中心化社区和DAO工具赛道:ZKpayroll,Disruptive DeFi突破性DeFi赛道:InsurAce Protocol,NFT, GameFi and the Metaverse游戏、NFT赛道:Ark Rivals。
同时,有12个项目被评委选为各自赛道的亚军和季军。他们分别是:Tokenized Impact Bonds(TIBs)、MetaBio、DAOrayaki、Hotpot、Velvet Capital、WEAVE、Maptable Atlas、Yao、DEEPSPACE(DPS)、BetaMars、Star(Aster Protocol)、Space ID。
二次方奖金池的分配结果可在DoraHacks.io/bnb查看。此外,BNB Grant Round-2和黑客马拉松七月即将启动。[2022/6/1 3:54:04]
从代码我们可以看出,verify 函数并没有将发送者地址放到签名中。另外,也没有机制保证该签名只能被使用一次。我们认为这一些安全实践是最基本的软件安全入门知识。我们非常惊讶这样的漏洞居然出现在非常知名的项目里面。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。