加密貨幣:如何錯誤驗證簽名：NBA 數字藏品發現為例_YFII

NBA最近發行了數字藏品，然而我們發現，其售賣數字藏品的合約存在非常嚴重的漏洞。攻擊者（“科學家”）可以通過漏洞無成本鑄造藏品然后出售獲利。

DFI.Money（YFII）發起關于如何分配Balancer獎勵提案:9月3日，聚合器項目DFI.Money（YFII）收到首批Balancer（BAL）獎勵，共計BAL 679.83個，價值21,814美元。該獎勵來源于YFII/DAI礦池，后續每周都將收到。關于獎勵如何分配，社區發起提案進行投票：放進循環挖礦池；換成yCRV給投票人激勵參與投票；注入社區基金。[2020/9/8]

漏洞的成因在于對白名單用戶的簽名校驗有安全問題。具體來說，合約沒有保證白名單簽名只能被特定用戶使用而且只能使用一次。因此，攻擊者可以重用其他白名單用戶簽名鑄造藏品。

大咖零距離 | 如何盡量的以小博大:1月3日20:00，金色盤面邀請實盤大V爆哥做客金色財經《大咖零距離》直播間，將分享《如何盡量的以小博大》，敬請關注，欲進群觀看直播掃描海報二維碼報名即可！[2020/1/3]

聲音 | 華盛頓與李大學法學院教授：加密貨幣用途決定了如何監管:在美國眾議院農業委員會昨日舉辦的加密貨幣聽證會上，華盛頓與李大學法學院教授Josh Fairfield表示，加密貨幣的用途決定了如何對其進行監管。不同的人因為不同的目的而持有加密貨幣，有的為了消費，有的為了儲存，有的為了投機，有的為了交易，有的隨時改變主意，甚至在使用（消費或交易）加密貨幣之前，不知道其用途。Fairfield表示，一般情況下，加密貨幣作為個人財產持有和消費是沒有問題的，只有交易和投機才會引發監管方面的擔憂，尤其是一些從結構流程上看起來像是試圖繞過某些監管的交易。[2018/7/20]

從代碼我們可以看出，verify 函數并沒有將發送者地址放到簽名中。另外，也沒有機制保證該簽名只能被使用一次。我們認為這一些安全實踐是最基本的軟件安全入門知識。我們非常驚訝這樣的漏洞居然出現在非常知名的項目里面。

Tags：加密貨幣BALYFIYFII加密貨幣怎么交易SHIBAL價格YFI3YFIII

Uniswap