如何錯誤驗證簽名：NBA 數字藏品發現為例_區塊鏈

NBA最近發行了數字藏品，然而我們發現，其售賣數字藏品的合約存在非常嚴重的漏洞。攻擊者（“科學家”）可以通過漏洞無成本鑄造藏品然后出售獲利。

韓國國會將討論如何提高加密貨幣交易透明:金色財經報道，韓國國會將于今日舉行一場題為“如何提高加密貨幣交易透明度”的研討會。該研討會將討論有關防止洗錢和建立監管加密交易的系統的問題。據報道，此前國會全體會議已通過一項特別法案，旨在引入一種數字資產業務報告系統，包括客戶身份識別和建立反洗錢義務。如果政府簽署該法律，新的反洗錢法案可能最早在2021年3月開始阻止與非法暗網相關的加密交易。國會議員Lee Soo-jin表示，區塊鏈是數字經濟的根基，透明度是關鍵，但隨著加密貨幣被用于犯罪活動，負面形象開始積累，需要通過與調查機構的技術合作來防止洗錢。[2020/7/10]

漏洞的成因在于對白名單用戶的簽名校驗有安全問題。具體來說，合約沒有保證白名單簽名只能被特定用戶使用而且只能使用一次。因此，攻擊者可以重用其他白名單用戶簽名鑄造藏品。

金色財經現場報道 海納云CTO鄒均：區塊鏈技術難點在于如何讓所有節點統一步調:金色財經現場報道，在2018區塊鏈技術及應用峰會上，海納云CTO鄒均認為，區塊鏈技術當前的限制難點在分布式系統中讓所有節點統一步調，區塊鏈目前存在性能限制、擴展性限制、易用性限制、兼容性跨鏈互聯限制、存儲限制、治理限制、軟件升級限制等問題。[2018/3/31]

中紀委機關報談區塊鏈發展：如何讓監管理解并適度監管是挑戰:今日東方財富網發文稱，在今年的全國兩會上，“區塊鏈”成為一些代表委員熱議的話題，近日中紀委機關報談到區塊鏈發展時，認為：如何讓監管理解并適度監管是挑戰。[2018/3/6]

從代碼我們可以看出，verify 函數并沒有將發送者地址放到簽名中。另外，也沒有機制保證該簽名只能被使用一次。我們認為這一些安全實踐是最基本的軟件安全入門知識。我們非常驚訝這樣的漏洞居然出現在非常知名的項目里面。

Tags：區塊鏈加密貨幣CTORIF區塊鏈卡鏈是什么意思加密貨幣是錢嗎還是貨幣Reflector FinanceNuriFootBall

波場