如何錯誤驗證簽名：NBA 數字藏品發現為例_區塊鏈

NBA最近發行了數字藏品，然而我們發現，其售賣數字藏品的合約存在非常嚴重的漏洞。攻擊者（“科學家”）可以通過漏洞無成本鑄造藏品然后出售獲利。

MicroStrategy將在明年指導企業如何采用Bitcoin:金色財經報道，MicroStrategy將在明年5月的活動中指導企業如何采用Bitcoin。[2022/12/8 21:31:03]

漏洞的成因在于對白名單用戶的簽名校驗有安全問題。具體來說，合約沒有保證白名單簽名只能被特定用戶使用而且只能使用一次。因此，攻擊者可以重用其他白名單用戶簽名鑄造藏品。

大咖零距離 | 勝率高達85%的趨勢交易大神告訴您如何用趨勢交易捕捉大行情:11月22日18:00，金色盤面邀請實盤大V J神做客金色財經《大咖零距離》直播間，將分享《勝率高達85%的趨勢交易大神告訴您如何用趨勢交易捕捉大行情》，敬請關注，欲進群觀看直播掃描海報二維碼報名即可！[2019/11/22]

動態 | 馬耳他研討會探討如何改進涉及區塊鏈的反洗錢法:據Times of Malta消息，馬耳他區塊鏈協會主席Patrick Young和管理者Max Ganado發文稱，近日在由馬耳他區塊鏈協會和馬耳他財政部共同組織的Blockfinance研討會中，包括馬耳他金融服務管理局（MFSA）、馬耳他金融情報分析部門（FIAU）和在內的利益相關者參與了活動。發言者初步進行了差距分析，使行業參與者可以就涉及區塊鏈的反洗錢法（AML）的進一步發展提出具體建議。 文章指出，這個新興產業需要表現出高標準的誠信以及合規性。此外，區塊鏈行業參與者需要為AML-CFT戰略做出貢獻。[2019/4/7]

從代碼我們可以看出，verify 函數并沒有將發送者地址放到簽名中。另外，也沒有機制保證該簽名只能被使用一次。我們認為這一些安全實踐是最基本的軟件安全入門知識。我們非常驚訝這樣的漏洞居然出現在非常知名的項目里面。

Tags：區塊鏈CROSTCOICR區塊鏈dapp開發pdfCROS價格bitcoin幣價格Microsponsors

Polygon