Нещодавно у сфері з'явилася увага до проблеми безпеки, пов'язаної з цифровими колекційними предметами відомого спортивного альянсу. Експерти з безпеки виявили, що смартконтракти, які альянс використовує для продажу цифрових колекційних предметів, мають суттєві недоліки, які дозволяють потенційним зловмисникам безкоштовно мінтити предмети та отримувати прибуток.
Ця вразливість виникає через проблему в механізмі перевірки підписів користувачів з білого списку в контракті. Зокрема, контракт не зміг забезпечити ексклюзивність і одноразове використання підписів білого списку. Це означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для мінтингу колекцій.
Аналізуючи код контракту, експерти вказали на дві ключові проблеми: по-перше, функція verify не містить адреси відправника під час процесу перевірки підпису; по-друге, відсутній механізм для запобігання багаторазовому використанню підпису. Ці питання вважаються основними практиками безпеки програмного забезпечення і повинні бути важливими під час процесу розробки.
!
Експерти з безпеки висловили шок з приводу появи таких базових вразливостей у проектах з високою популярністю. Вони підкреслили, що такі вразливості не лише загрожують самому проекту, але й можуть негативно вплинути на репутацію всього ринку цифрових колекцій.
Ця подія ще раз підкреслила важливість проведення всебічного аудитування безпеки при розробці проектів на блокчейні, особливо коли йдеться про фінансові транзакції зі смартконтрактами. Це також нагадує проектним командам і розробникам, що потрібно зав时 бути насторожі, адже навіть на перший погляд прості функції можуть приховувати значні ризики безпеки.
Експерти закликають, що з швидким розвитком ринку цифрових колекцій, відповідні проекти повинні більше уваги приділяти безпеці, вжити суворих заходів щодо перевірки коду та тестування, щоб захистити інтереси користувачів та підтримувати довгострокове здорове розвиток галузі.
!
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
21 лайків
Нагородити
21
5
Поділіться
Прокоментувати
0/400
AirdropGrandpa
· 08-05 18:39
Ще один проект з фронтенду, який не пройшов тестування на безпеку.
Переглянути оригіналвідповісти на0
RugPullAlarm
· 08-04 17:31
Ще один тривіальний проект, який навіть не робить verify для адреси. Поглянув на дані у блокчейні, принаймні 33 тисячі активів під ризиком.
Переглянути оригіналвідповісти на0
MemeEchoer
· 08-04 13:16
Ходити, наступаючи на ями, так?
Переглянути оригіналвідповісти на0
DegenDreamer
· 08-03 00:36
Ще один, хто раптом вирішив писати смартконтракти?
Серйозна вразливість безпеки дозволяє атакувати смартконтракти цифрових колекцій без витрат.
Нещодавно у сфері з'явилася увага до проблеми безпеки, пов'язаної з цифровими колекційними предметами відомого спортивного альянсу. Експерти з безпеки виявили, що смартконтракти, які альянс використовує для продажу цифрових колекційних предметів, мають суттєві недоліки, які дозволяють потенційним зловмисникам безкоштовно мінтити предмети та отримувати прибуток.
Ця вразливість виникає через проблему в механізмі перевірки підписів користувачів з білого списку в контракті. Зокрема, контракт не зміг забезпечити ексклюзивність і одноразове використання підписів білого списку. Це означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для мінтингу колекцій.
Аналізуючи код контракту, експерти вказали на дві ключові проблеми: по-перше, функція verify не містить адреси відправника під час процесу перевірки підпису; по-друге, відсутній механізм для запобігання багаторазовому використанню підпису. Ці питання вважаються основними практиками безпеки програмного забезпечення і повинні бути важливими під час процесу розробки.
!
Експерти з безпеки висловили шок з приводу появи таких базових вразливостей у проектах з високою популярністю. Вони підкреслили, що такі вразливості не лише загрожують самому проекту, але й можуть негативно вплинути на репутацію всього ринку цифрових колекцій.
Ця подія ще раз підкреслила важливість проведення всебічного аудитування безпеки при розробці проектів на блокчейні, особливо коли йдеться про фінансові транзакції зі смартконтрактами. Це також нагадує проектним командам і розробникам, що потрібно зав时 бути насторожі, адже навіть на перший погляд прості функції можуть приховувати значні ризики безпеки.
Експерти закликають, що з швидким розвитком ринку цифрових колекцій, відповідні проекти повинні більше уваги приділяти безпеці, вжити суворих заходів щодо перевірки коду та тестування, щоб захистити інтереси користувачів та підтримувати довгострокове здорове розвиток галузі.
!