如何错误验证签名：NBA 数字藏品发现为例

NBA最近发行了数字藏品，然而我们发现，其售卖数字藏品的合约存在非常严重的漏洞。攻击者（“科学家”）可以通过漏洞无成本铸造藏品然后出售获利。

直播｜KIKI >教你如何选择比特算力:金色财经 · 直播主办的《 币圈 “后浪” 仙女直播周》第10期，本期由58COIN TOP天团组成，20:00正在直播中，本期“后浪”仙女58TOP女团甜美担当 KIKI在直播间分享“教你如何选择比特算力”，请扫码移步收听。[2020/7/31]

漏洞的成因在于对白名单用户的签名校验有安全问题。具体来说，合约没有保证白名单签名只能被特定用户使用而且只能使用一次。因此，攻击者可以重用其他白名单用户签名铸造藏品。

动态 | Kyle Samani发推质疑Block.one如何在两年时间花掉 8 亿美元:著名区块链投资机构 Multicoin 创始合伙人 Kyle Samani 发推质疑 EOS 背后的开发公司 Block.one 如何在两年时间中烧掉 8 亿美元。Kyle Samani 发表推文称，如果 Block.one 通过 ICO 融资了 40 亿美元，现在的资产负债表上有 32 亿美元的资产，那么这家有 200 名员工的公司如何在两年时间里花掉了 8 亿美元现金？Kyle Samani 还称，Block.one 进行了 1.8 亿美元风险投资，但这不是支出，即便把这些投资的账面资产都减记为 0 ，时间也不够用。而 Staked.us 的联合创始人 Jonathan Marcus 则表示，Block.one 花费的那 8 亿美元中，最少有 5.3 亿美元用于股权回购，因为 Block.one 过去两年共进行了两次股权回购，一次花费了 3 亿美元，最近又回购了 2.3 亿美元的股权。[2019/6/3]

声音 | 阿里云研究中心战略总监：需思考如何让数据更充分 有效有序的流动起来:据腾讯科技报道，在人民网举办块链技术秋季论坛上，在谈及区块链与治理结构的关系时，阿里云研究中心战略总监杨军表示，从农业时代走来，如今更多人的精力是放在如何用数据提升大家的服务体验。在未来的数字经济时代，需要思考如何让数据更充分、更有效有序的流动起来，这又涉及到数据确权、数据隐私等方面。[2018/10/23]

从代码我们可以看出，verify 函数并没有将发送者地址放到签名中。另外，也没有机制保证该签名只能被使用一次。我们认为这一些安全实践是最基本的软件安全入门知识。我们非常惊讶这样的漏洞居然出现在非常知名的项目里面。

标签：LOCBLOLOCKBLOCKblock币圈blockchain.pi翻译中文PLOCK币The Whale of Blockchain

BNB热门资讯