Baru-baru ini, sebuah liga olahraga yang sangat diperhatikan merilis serangkaian koleksi digital, yang menarik banyak perhatian. Namun, beberapa ahli keamanan menemukan bahwa kontrak penjualan untuk serangkaian koleksi digital tersebut memiliki celah serius. Celah ini memungkinkan beberapa orang yang ahli dalam teknologi untuk mencetak koleksi dengan cara yang cerdik, tanpa membayar, dan mendapatkan keuntungan dari situ.
Sumber dari kerentanan ini terletak pada adanya cacat dalam mekanisme verifikasi tanda tangan pengguna whitelist oleh kontrak. Secara spesifik, perancang kontrak tidak memastikan eksklusivitas dan penggunaan sekali saja dari tanda tangan whitelist. Oleh karena itu, orang yang akrab dengan mekanisme kontrak dapat menggunakan kembali tanda tangan pengguna whitelist lainnya untuk pencetakan koleksi.
Dari kode kontrak, dapat dengan jelas terlihat masalahnya. Fungsi verify tidak memasukkan alamat pengirim transaksi dalam konten tanda tangan saat melakukan verifikasi tanda tangan. Selain itu, kontrak juga tidak mengatur mekanisme untuk memastikan setiap tanda tangan hanya dapat digunakan sekali. Ini seharusnya menjadi praktik keamanan dasar, merupakan pengetahuan tingkat pemula dalam pengembangan perangkat lunak.
Sungguh mengejutkan, bahwa celah keamanan yang begitu jelas muncul dalam proyek yang memiliki reputasi setinggi ini. Ini menimbulkan pertanyaan tentang apakah pihak proyek telah mengabaikan audit keamanan. Kasus ini sekali lagi menekankan pentingnya keamanan dalam proyek blockchain, terutama yang melibatkan aset digital.
Bagi para pelaku industri blockchain, peristiwa ini memberikan pelajaran berharga. Ini mengingatkan kita bahwa bahkan langkah-langkah keamanan yang paling dasar tidak boleh diabaikan. Pada saat yang sama, ini juga menyoroti pentingnya melakukan audit keamanan yang komprehensif dan profesional sebelum merilis kontrak pintar yang melibatkan aset pengguna.
Di masa depan, kami berharap lebih banyak proyek yang memperhatikan keamanan kontrak dan mengambil langkah-langkah keamanan yang lebih ketat untuk melindungi kepentingan pengguna. Pada saat yang sama, ini juga memberikan peringatan bagi seluruh industri, mengingatkan kita untuk tidak mengabaikan prinsip-prinsip keamanan yang paling dasar saat mengejar inovasi.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
8 Suka
Hadiah
8
5
Posting ulang
Bagikan
Komentar
0/400
GhostWalletSleuth
· 08-06 03:57
Kontrak ini sangat buruk, siapa yang menulisnya?
Lihat AsliBalas0
GasWaster
· 08-04 06:21
sial... menghabiskan lebih banyak untuk audit tx yang gagal daripada yang mereka lakukan untuk audit yang sebenarnya, smh
Lihat AsliBalas0
DegenRecoveryGroup
· 08-04 06:08
Pengembang kontrak pemula masih berani mengambil proyek besar
Lihat AsliBalas0
SorryRugPulled
· 08-04 05:50
Zek, tanda tangan Allowlist memiliki celah, investor ritel dipermainkan.
Kebocoran besar pada koleksi digital liga olahraga terkenal terungkap, pencetakan gratis menimbulkan kekhawatiran keamanan
Baru-baru ini, sebuah liga olahraga yang sangat diperhatikan merilis serangkaian koleksi digital, yang menarik banyak perhatian. Namun, beberapa ahli keamanan menemukan bahwa kontrak penjualan untuk serangkaian koleksi digital tersebut memiliki celah serius. Celah ini memungkinkan beberapa orang yang ahli dalam teknologi untuk mencetak koleksi dengan cara yang cerdik, tanpa membayar, dan mendapatkan keuntungan dari situ.
Sumber dari kerentanan ini terletak pada adanya cacat dalam mekanisme verifikasi tanda tangan pengguna whitelist oleh kontrak. Secara spesifik, perancang kontrak tidak memastikan eksklusivitas dan penggunaan sekali saja dari tanda tangan whitelist. Oleh karena itu, orang yang akrab dengan mekanisme kontrak dapat menggunakan kembali tanda tangan pengguna whitelist lainnya untuk pencetakan koleksi.
Dari kode kontrak, dapat dengan jelas terlihat masalahnya. Fungsi verify tidak memasukkan alamat pengirim transaksi dalam konten tanda tangan saat melakukan verifikasi tanda tangan. Selain itu, kontrak juga tidak mengatur mekanisme untuk memastikan setiap tanda tangan hanya dapat digunakan sekali. Ini seharusnya menjadi praktik keamanan dasar, merupakan pengetahuan tingkat pemula dalam pengembangan perangkat lunak.
Sungguh mengejutkan, bahwa celah keamanan yang begitu jelas muncul dalam proyek yang memiliki reputasi setinggi ini. Ini menimbulkan pertanyaan tentang apakah pihak proyek telah mengabaikan audit keamanan. Kasus ini sekali lagi menekankan pentingnya keamanan dalam proyek blockchain, terutama yang melibatkan aset digital.
Bagi para pelaku industri blockchain, peristiwa ini memberikan pelajaran berharga. Ini mengingatkan kita bahwa bahkan langkah-langkah keamanan yang paling dasar tidak boleh diabaikan. Pada saat yang sama, ini juga menyoroti pentingnya melakukan audit keamanan yang komprehensif dan profesional sebelum merilis kontrak pintar yang melibatkan aset pengguna.
Di masa depan, kami berharap lebih banyak proyek yang memperhatikan keamanan kontrak dan mengambil langkah-langkah keamanan yang lebih ketat untuk melindungi kepentingan pengguna. Pada saat yang sama, ini juga memberikan peringatan bagi seluruh industri, mengingatkan kita untuk tidak mengabaikan prinsip-prinsip keamanan yang paling dasar saat mengejar inovasi.