Нещодавно одна з популярних спортивних ліг випустила серію цифрових колекцій, що привернула увагу. Однак деякі експерти з безпеки виявили серйозні вразливості у контракті на продаж цієї серії цифрових колекцій. Ця вразливість дозволяє деяким технічно підкованим особам за допомогою хитрих методів мінтити колекції без оплати та отримувати з цього прибуток.
Ця уразливість викликана недоліком механізму перевірки підписів користувачів білого списку в контракті. Конкретно, розробники контракту не забезпечили ексклюзивність і одноразове використання підписів білого списку. Тому особи, знайомі з механізмом контракту, можуть повторно використовувати підписи інших користувачів білого списку для мінтинг.
З коду контракту чітко видно, в чому полягає проблема. Функція verify при перевірці підпису не включає адресу ініціатора угоди до змісту підпису. Крім того, контракт не має механізму, щоб забезпечити, що кожен підпис можна використовувати лише один раз. Це мали б бути базові практики безпеки, які є початковими знаннями в розробці програмного забезпечення.
!
Дивно, що така очевидна вразливість безпеки з'явилася в проекті з такою високою популярністю. Це змушує сумніватися в тому, чи не було знехтувань з боку команди проекту в питаннях безпеки. Цей випадок ще раз підкреслює важливість безпеки в блокчейн-проектах, особливо в тих, що стосуються цифрових активів.
Для учасників індустрії блокчейн ця подія надала цінні уроки. Вона нагадує нам, що навіть найосновніші заходи безпеки не слід ігнорувати. Водночас це також підкреслює необхідність проведення всебічного та професійного аудиту безпеки перед випуском будь-яких смарт-контрактів, що стосуються активів користувачів.
У майбутньому ми сподіваємось бачити більше проєктів, які приділяють увагу безпеці контрактів, запроваджуючи більш жорсткі заходи безпеки для захисту інтересів користувачів. Водночас це також має стати сигналом для всієї індустрії, нагадуючи нам, що, прагнучи інновацій, не слід ігнорувати найосновніші принципи безпеки.
!
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
8 лайків
Нагородити
8
5
Репост
Поділіться
Прокоментувати
0/400
GhostWalletSleuth
· 08-06 03:57
Цей контракт настільки поганий, хто його написав?
Переглянути оригіналвідповісти на0
GasWaster
· 08-04 06:21
fml... витратив більше на аудит невдалих транзакцій, ніж на фактичні аудити, смх
Переглянути оригіналвідповісти на0
DegenRecoveryGroup
· 08-04 06:08
Новачки в розробці контрактів все ще наважуються братися за великі проекти
Переглянути оригіналвідповісти на0
SorryRugPulled
· 08-04 05:50
Ех, у Дозволеному списку є вразливість, роздрібний інвестор обдурює людей, як лохів.
Відомі спортивні ліги виявили серйозну вразливість цифрових колекцій. Безкоштовний мінтинг викликав занепокоєння щодо безпеки.
Нещодавно одна з популярних спортивних ліг випустила серію цифрових колекцій, що привернула увагу. Однак деякі експерти з безпеки виявили серйозні вразливості у контракті на продаж цієї серії цифрових колекцій. Ця вразливість дозволяє деяким технічно підкованим особам за допомогою хитрих методів мінтити колекції без оплати та отримувати з цього прибуток.
Ця уразливість викликана недоліком механізму перевірки підписів користувачів білого списку в контракті. Конкретно, розробники контракту не забезпечили ексклюзивність і одноразове використання підписів білого списку. Тому особи, знайомі з механізмом контракту, можуть повторно використовувати підписи інших користувачів білого списку для мінтинг.
З коду контракту чітко видно, в чому полягає проблема. Функція verify при перевірці підпису не включає адресу ініціатора угоди до змісту підпису. Крім того, контракт не має механізму, щоб забезпечити, що кожен підпис можна використовувати лише один раз. Це мали б бути базові практики безпеки, які є початковими знаннями в розробці програмного забезпечення.
!
Дивно, що така очевидна вразливість безпеки з'явилася в проекті з такою високою популярністю. Це змушує сумніватися в тому, чи не було знехтувань з боку команди проекту в питаннях безпеки. Цей випадок ще раз підкреслює важливість безпеки в блокчейн-проектах, особливо в тих, що стосуються цифрових активів.
Для учасників індустрії блокчейн ця подія надала цінні уроки. Вона нагадує нам, що навіть найосновніші заходи безпеки не слід ігнорувати. Водночас це також підкреслює необхідність проведення всебічного та професійного аудиту безпеки перед випуском будь-яких смарт-контрактів, що стосуються активів користувачів.
У майбутньому ми сподіваємось бачити більше проєктів, які приділяють увагу безпеці контрактів, запроваджуючи більш жорсткі заходи безпеки для захисту інтересів користувачів. Водночас це також має стати сигналом для всієї індустрії, нагадуючи нам, що, прагнучи інновацій, не слід ігнорувати найосновніші принципи безпеки.
!