Gần đây, một liên minh thể thao nổi bật đã phát hành một loạt tài sản số, thu hút được nhiều sự theo dõi. Tuy nhiên, một số chuyên gia an ninh phát hiện ra rằng hợp đồng bán các tài sản số này có lỗ hổng nghiêm trọng. Lỗ hổng này cho phép một số người có kỹ năng công nghệ tinh vi sử dụng các phương thức khéo léo để đang đúc tài sản mà không phải trả tiền, và từ đó kiếm lợi.
Lỗ hổng này xuất phát từ việc cơ chế xác thực chữ ký của người dùng trong danh sách trắng của hợp đồng có khuyết điểm. Cụ thể, nhà thiết kế hợp đồng không đảm bảo tính độc quyền và tính một lần sử dụng của chữ ký trong danh sách trắng. Do đó, những người quen thuộc với cơ chế hợp đồng có thể tái sử dụng chữ ký của người dùng khác trong danh sách trắng để đang đúc các bộ sưu tập.
Từ mã hợp đồng có thể thấy rõ vấn đề. Hàm verify khi thực hiện xác thực chữ ký không đưa địa chỉ của người khởi tạo giao dịch vào nội dung chữ ký. Đồng thời, hợp đồng cũng không thiết lập cơ chế để đảm bảo mỗi chữ ký chỉ có thể được sử dụng một lần. Đây lẽ ra phải là những thực hành bảo mật cơ bản, là kiến thức nhập môn trong phát triển phần mềm.
Thật bất ngờ khi một lỗ hổng bảo mật rõ ràng như vậy lại xuất hiện trong một dự án có độ nổi tiếng cao như thế. Điều này không khỏi khiến người ta nghi ngờ về việc nhóm dự án có bỏ sót trong việc kiểm tra bảo mật hay không. Trường hợp này một lần nữa nhấn mạnh tầm quan trọng của an ninh trong các dự án blockchain, đặc biệt là những dự án liên quan đến tài sản kỹ thuật số.
Đối với những người tham gia trong ngành công nghiệp blockchain, sự kiện này cung cấp bài học quý giá. Nó nhắc nhở chúng ta rằng ngay cả những biện pháp an ninh cơ bản nhất cũng không thể bị bỏ qua. Đồng thời, điều này cũng làm nổi bật sự cần thiết phải thực hiện một cuộc kiểm toán an ninh toàn diện và chuyên nghiệp trước khi phát hành bất kỳ hợp đồng thông minh nào liên quan đến tài sản của người dùng.
Trong tương lai, chúng tôi hy vọng thấy nhiều dự án chú trọng đến an toàn hợp đồng, áp dụng các biện pháp an toàn nghiêm ngặt hơn để bảo vệ quyền lợi của người dùng. Đồng thời, điều này cũng đã gióng lên một hồi chuông cảnh tỉnh cho toàn ngành, nhắc nhở chúng ta rằng trong việc theo đuổi đổi mới, không được bỏ qua những nguyên tắc an toàn cơ bản nhất.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
8 thích
Phần thưởng
8
5
Đăng lại
Chia sẻ
Bình luận
0/400
GhostWalletSleuth
· 08-06 03:57
Hợp đồng này ai viết vậy, quá tệ!
Xem bản gốcTrả lời0
GasWaster
· 08-04 06:21
fml... đã chi nhiều hơn cho việc kiểm tra các giao dịch thất bại này so với những gì họ đã chi cho các cuộc kiểm toán thực tế smh
Xem bản gốcTrả lời0
DegenRecoveryGroup
· 08-04 06:08
Nhà phát triển hợp đồng thông minh vẫn dám tham gia vào các dự án lớn
Xem bản gốcTrả lời0
SorryRugPulled
· 08-04 05:50
啧 Danh sách cho phép ký có lỗ hổng bán lẻ chơi đùa với mọi người
Lỗ hổng nghiêm trọng của bộ sưu tập kỹ thuật số liên minh thể thao nổi tiếng bị lộ ra, việc đang đúc miễn phí gây ra lo ngại về an ninh.
Gần đây, một liên minh thể thao nổi bật đã phát hành một loạt tài sản số, thu hút được nhiều sự theo dõi. Tuy nhiên, một số chuyên gia an ninh phát hiện ra rằng hợp đồng bán các tài sản số này có lỗ hổng nghiêm trọng. Lỗ hổng này cho phép một số người có kỹ năng công nghệ tinh vi sử dụng các phương thức khéo léo để đang đúc tài sản mà không phải trả tiền, và từ đó kiếm lợi.
Lỗ hổng này xuất phát từ việc cơ chế xác thực chữ ký của người dùng trong danh sách trắng của hợp đồng có khuyết điểm. Cụ thể, nhà thiết kế hợp đồng không đảm bảo tính độc quyền và tính một lần sử dụng của chữ ký trong danh sách trắng. Do đó, những người quen thuộc với cơ chế hợp đồng có thể tái sử dụng chữ ký của người dùng khác trong danh sách trắng để đang đúc các bộ sưu tập.
Từ mã hợp đồng có thể thấy rõ vấn đề. Hàm verify khi thực hiện xác thực chữ ký không đưa địa chỉ của người khởi tạo giao dịch vào nội dung chữ ký. Đồng thời, hợp đồng cũng không thiết lập cơ chế để đảm bảo mỗi chữ ký chỉ có thể được sử dụng một lần. Đây lẽ ra phải là những thực hành bảo mật cơ bản, là kiến thức nhập môn trong phát triển phần mềm.
Thật bất ngờ khi một lỗ hổng bảo mật rõ ràng như vậy lại xuất hiện trong một dự án có độ nổi tiếng cao như thế. Điều này không khỏi khiến người ta nghi ngờ về việc nhóm dự án có bỏ sót trong việc kiểm tra bảo mật hay không. Trường hợp này một lần nữa nhấn mạnh tầm quan trọng của an ninh trong các dự án blockchain, đặc biệt là những dự án liên quan đến tài sản kỹ thuật số.
Đối với những người tham gia trong ngành công nghiệp blockchain, sự kiện này cung cấp bài học quý giá. Nó nhắc nhở chúng ta rằng ngay cả những biện pháp an ninh cơ bản nhất cũng không thể bị bỏ qua. Đồng thời, điều này cũng làm nổi bật sự cần thiết phải thực hiện một cuộc kiểm toán an ninh toàn diện và chuyên nghiệp trước khi phát hành bất kỳ hợp đồng thông minh nào liên quan đến tài sản của người dùng.
Trong tương lai, chúng tôi hy vọng thấy nhiều dự án chú trọng đến an toàn hợp đồng, áp dụng các biện pháp an toàn nghiêm ngặt hơn để bảo vệ quyền lợi của người dùng. Đồng thời, điều này cũng đã gióng lên một hồi chuông cảnh tỉnh cho toàn ngành, nhắc nhở chúng ta rằng trong việc theo đuổi đổi mới, không được bỏ qua những nguyên tắc an toàn cơ bản nhất.