Belakangan ini, sebuah celah keamanan yang melibatkan koleksi digital dari suatu liga olahraga terkenal menarik perhatian industri. Para ahli keamanan menemukan bahwa smart contract yang digunakan oleh liga tersebut untuk menjual koleksi digital memiliki cacat besar, yang memungkinkan penyerang potensial untuk mencetak koleksi tanpa biaya dan meraih keuntungan dari situ.
Sumber kerentanan ini terletak pada masalah mekanisme verifikasi tanda tangan pengguna daftar putih dalam kontrak. Secara khusus, kontrak gagal memastikan eksklusivitas dan penggunaan tunggal tanda tangan daftar putih. Ini berarti penyerang dapat menggunakan kembali tanda tangan pengguna daftar putih lainnya untuk mencetak koleksi.
Melalui analisis kode kontrak, para ahli menunjukkan dua masalah kunci: pertama, fungsi verify tidak menyertakan alamat pengirim dalam proses verifikasi tanda tangan; kedua, kurangnya mekanisme untuk mencegah tanda tangan digunakan berulang kali. Ini dianggap sebagai praktik keamanan perangkat lunak dasar yang seharusnya diperhatikan selama proses pengembangan.
Para ahli keamanan terkejut dengan munculnya celah yang begitu mendasar dalam proyek yang memiliki reputasi tinggi. Mereka menekankan bahwa celah keamanan semacam ini tidak hanya mengancam proyek itu sendiri, tetapi juga dapat memberikan dampak negatif pada reputasi seluruh pasar koleksi digital.
Peristiwa ini sekali lagi menyoroti pentingnya melakukan audit keamanan secara menyeluruh dalam pengembangan proyek blockchain, terutama yang melibatkan transaksi keuangan melalui smart contract. Ini juga mengingatkan pihak proyek dan pengembang untuk selalu waspada, bahkan fungsi yang tampaknya sederhana pun dapat menyimpan risiko keamanan yang signifikan.
Para ahli menyerukan, seiring dengan pesatnya perkembangan pasar koleksi digital, proyek terkait seharusnya lebih memperhatikan keamanan, menerapkan proses peninjauan dan pengujian kode yang ketat, untuk melindungi kepentingan pengguna dan menjaga perkembangan jangka panjang industri.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
13 Suka
Hadiah
13
2
Bagikan
Komentar
0/400
DegenDreamer
· 19jam yang lalu
Satu lagi orang yang tiba-tiba menulis smart contract?
Kerentanan keamanan yang signifikan menyebabkan kontrak pintar koleksi digital dapat diserang tanpa biaya.
Belakangan ini, sebuah celah keamanan yang melibatkan koleksi digital dari suatu liga olahraga terkenal menarik perhatian industri. Para ahli keamanan menemukan bahwa smart contract yang digunakan oleh liga tersebut untuk menjual koleksi digital memiliki cacat besar, yang memungkinkan penyerang potensial untuk mencetak koleksi tanpa biaya dan meraih keuntungan dari situ.
Sumber kerentanan ini terletak pada masalah mekanisme verifikasi tanda tangan pengguna daftar putih dalam kontrak. Secara khusus, kontrak gagal memastikan eksklusivitas dan penggunaan tunggal tanda tangan daftar putih. Ini berarti penyerang dapat menggunakan kembali tanda tangan pengguna daftar putih lainnya untuk mencetak koleksi.
Melalui analisis kode kontrak, para ahli menunjukkan dua masalah kunci: pertama, fungsi verify tidak menyertakan alamat pengirim dalam proses verifikasi tanda tangan; kedua, kurangnya mekanisme untuk mencegah tanda tangan digunakan berulang kali. Ini dianggap sebagai praktik keamanan perangkat lunak dasar yang seharusnya diperhatikan selama proses pengembangan.
Para ahli keamanan terkejut dengan munculnya celah yang begitu mendasar dalam proyek yang memiliki reputasi tinggi. Mereka menekankan bahwa celah keamanan semacam ini tidak hanya mengancam proyek itu sendiri, tetapi juga dapat memberikan dampak negatif pada reputasi seluruh pasar koleksi digital.
Peristiwa ini sekali lagi menyoroti pentingnya melakukan audit keamanan secara menyeluruh dalam pengembangan proyek blockchain, terutama yang melibatkan transaksi keuangan melalui smart contract. Ini juga mengingatkan pihak proyek dan pengembang untuk selalu waspada, bahkan fungsi yang tampaknya sederhana pun dapat menyimpan risiko keamanan yang signifikan.
Para ahli menyerukan, seiring dengan pesatnya perkembangan pasar koleksi digital, proyek terkait seharusnya lebih memperhatikan keamanan, menerapkan proses peninjauan dan pengujian kode yang ketat, untuk melindungi kepentingan pengguna dan menjaga perkembangan jangka panjang industri.