Недавно известная спортивная лига запустила проект цифровых коллекционных предметов, однако смарт-контракты, стоящие за ним, оказались с серьезными уязвимостями безопасности. Технические эксперты обнаружили, что в контракте есть серьезные недостатки, позволяющие злоумышленникам без затрат создавать большое количество коллекционных предметов и извлекать из этого прибыль.
Корень этой уязвимости заключается в недостатках механизма проверки подписи пользователей из белого списка в смарт-контрактах. В частности, контракт не обеспечивал уникальность и эксклюзивность подписей из белого списка, что позволяло злоумышленникам повторно использовать подписи других пользователей из белого списка для минтинга коллекционных предметов.
Анализируя код контракта, можно заметить, что функция verify не учитывает адрес отправителя при проверке подписи. Более того, контракт также не имеет механизма, ограничивающего одноразовое использование подписи. Эти меры, которые должны быть основными мерами безопасности, были проигнорированы, что вызывает сомнения в технических способностях команды проекта.
!
Такой уровень уязвимости безопасности, появляющийся в столь громких проектах, действительно удивителен. Он не только выявляет пренебрежение команды разработчиков проекта в области безопасности смарт-контрактов, но и подчеркивает, что в блокчейн-индустрии все еще предстоит пройти долгий путь в области аудита кода и практик безопасности.
Это событие снова напоминает нам, что даже у известных проектов могут быть серьезные технические недостатки. Для разработчиков, участвующих в проектах на блокчейне, строгое соблюдение лучших практик безопасности, проведение всестороннего аудита кода и привлечение профессиональной команды по безопасности для обнаружения уязвимостей являются незаменимыми шагами.
Для обычных пользователей этот случай также прозвучал как сигнал тревоги. При участии в любых проектах блокчейна, особенно тех, которые связаны с цифровыми активами, необходимо соблюдать осторожность, полностью понимать технический фон проекта и меры безопасности. В то же время важно обращать внимание на предупреждения и аналитические отчеты известных в отрасли агентств безопасности, чтобы своевременно осознавать потенциальные риски.
!
В целом, это событие не только выявило проблемы конкретного проекта, но и подчеркнуло необходимость улучшения в области разработки смарт-контрактов и управления безопасностью в целом по всей отрасли. Мы надеемся, что эти уроки помогут продвинуть всю экосистему блокчейна в более безопасном и надежном направлении.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
4
Репост
Поделиться
комментарий
0/400
FlatTax
· 08-14 06:56
Сделайте немного Разрешенный список и все.
Посмотреть ОригиналОтветить0
Web3ProductManager
· 08-12 19:36
смах... ошибка новичка в их токен-ворота. это буквально безопасность web3 101
Посмотреть ОригиналОтветить0
GovernancePretender
· 08-12 19:36
Снова кто-то накручивает белые заказы, никогда не научится вести себя.
Посмотреть ОригиналОтветить0
ZKProofster
· 08-12 19:22
технически... любительский час с проверкой подписей. смех сквозь слёзы от этих новичковых ошибок
Известный проект цифровых коллекционных предметов альянса обнаружил серьезную уязвимость: валидация подписи в Разрешенный список имеет недостатки.
Недавно известная спортивная лига запустила проект цифровых коллекционных предметов, однако смарт-контракты, стоящие за ним, оказались с серьезными уязвимостями безопасности. Технические эксперты обнаружили, что в контракте есть серьезные недостатки, позволяющие злоумышленникам без затрат создавать большое количество коллекционных предметов и извлекать из этого прибыль.
Корень этой уязвимости заключается в недостатках механизма проверки подписи пользователей из белого списка в смарт-контрактах. В частности, контракт не обеспечивал уникальность и эксклюзивность подписей из белого списка, что позволяло злоумышленникам повторно использовать подписи других пользователей из белого списка для минтинга коллекционных предметов.
Анализируя код контракта, можно заметить, что функция verify не учитывает адрес отправителя при проверке подписи. Более того, контракт также не имеет механизма, ограничивающего одноразовое использование подписи. Эти меры, которые должны быть основными мерами безопасности, были проигнорированы, что вызывает сомнения в технических способностях команды проекта.
!
Такой уровень уязвимости безопасности, появляющийся в столь громких проектах, действительно удивителен. Он не только выявляет пренебрежение команды разработчиков проекта в области безопасности смарт-контрактов, но и подчеркивает, что в блокчейн-индустрии все еще предстоит пройти долгий путь в области аудита кода и практик безопасности.
Это событие снова напоминает нам, что даже у известных проектов могут быть серьезные технические недостатки. Для разработчиков, участвующих в проектах на блокчейне, строгое соблюдение лучших практик безопасности, проведение всестороннего аудита кода и привлечение профессиональной команды по безопасности для обнаружения уязвимостей являются незаменимыми шагами.
Для обычных пользователей этот случай также прозвучал как сигнал тревоги. При участии в любых проектах блокчейна, особенно тех, которые связаны с цифровыми активами, необходимо соблюдать осторожность, полностью понимать технический фон проекта и меры безопасности. В то же время важно обращать внимание на предупреждения и аналитические отчеты известных в отрасли агентств безопасности, чтобы своевременно осознавать потенциальные риски.
!
В целом, это событие не только выявило проблемы конкретного проекта, но и подчеркнуло необходимость улучшения в области разработки смарт-контрактов и управления безопасностью в целом по всей отрасли. Мы надеемся, что эти уроки помогут продвинуть всю экосистему блокчейна в более безопасном и надежном направлении.