如何錯誤驗證簽名：NBA 數字藏品發現為例_區塊鏈:COIN

NBA最近發行了數字藏品，然而我們發現，其售賣數字藏品的合約存在非常嚴重的漏洞。攻擊者（“科學家”）可以通過漏洞無成本鑄造藏品然后出售獲利。

沃爾瑪調查其與萊特幣合作的虛假新聞稿是如何發布的:9月14日消息，在與萊特幣合作的假消息傳出后，沃爾瑪公司表示正在調查欺詐性新聞稿是如何發布的。The Litecoin Foundation和Charlie Lee也在調查此事。此外，Globenewswire表示，它還將與當局合作，“要求并促進進行全面調查，包括與此事相關的任何犯罪活動。”（Bitcoin News）[2021/9/15 23:25:08]

漏洞的成因在于對白名單用戶的簽名校驗有安全問題。具體來說，合約沒有保證白名單簽名只能被特定用戶使用而且只能使用一次。因此，攻擊者可以重用其他白名單用戶簽名鑄造藏品。

歐科集團徐明星對話全國政協委員 談抗擊疫情區塊鏈如何發揮作用:3月20日，全國政協云上“小雙周”座談會今天舉行。全國政協委員，中國證監會原主席肖鋼等多位全國政協委員、業界專家代表出席。會上，歐科集團創始人徐明星發表“區塊鏈+供應鏈抗疫期間‘扛大旗’”主題演講。徐明星表示：“除了供應鏈外，區塊鏈技術在其他領域也有重要應用。隨著下一代高新技術產業的發展，區塊鏈技術將展現出更大的應用潛力。”[2020/3/20]

動態 | Coinbase研究：學生越來越有興趣了解區塊鏈和加密如何使全世界的人受益:Coinbase博客發文稱，研究表明，學生們越來越有興趣了解區塊鏈和加密如何使全世界的人受益。在2018年至2019年期間，學習區塊鏈中對于“社會公正”的興趣從13％上升到20％。與此同時，學生對于“安全”和“未來應用與增長”的學習興趣在過去一年中都有所下降，分別從37％降至29％和31％至27％。[2019/8/31]

從代碼我們可以看出，verify 函數并沒有將發送者地址放到簽名中。另外，也沒有機制保證該簽名只能被使用一次。我們認為這一些安全實踐是最基本的軟件安全入門知識。我們非常驚訝這樣的漏洞居然出現在非常知名的項目里面。

Tags：區塊鏈COINOINCOI區塊鏈dapp開發公司coincheck交易平臺網址Zupi CoinE-Currency Coin

萊特幣