Нещодавно відома спортивна ліга запустила проект цифрових колекцій, але смартконтракти, що стоять за ним, виявили серйозні проблеми з безпекою. Технічні експерти виявили, що цей контракт має суттєву вразливість, яка дозволяє зловмисним користувачам безкоштовно мінтити велику кількість колекцій і отримувати з цього прибуток.
Ця вразливість виникла через дефект механізму перевірки підписів користувачів зі списку білих у смартконтракті. Конкретно кажучи, смартконтракт не зміг забезпечити унікальність та ексклюзивність підписів зі списку білих, що призвело до того, що зловмисники можуть повторно використовувати підписи інших користувачів зі списку білих для мінтингу колекцій.
Аналізуючи код контракту, можна виявити, що функція verify не враховує адресу відправника під час перевірки підпису. Ще більше турбує те, що контракт також не має механізму для обмеження одноразового використання підпису. Ці заходи, які мали б бути основними заходами безпеки, були проігноровані, що викликає сумнів у технічних можливостях команди проекту.
!
Такий рівень вразливості безпеки з'являється в настільки гучних проєктах, дійсно дивує. Це не лише виявляє недбалість команди розробників проєкту в питанні безпеки смартконтрактів, але й підкреслює, що індустрія блокчейн все ще має пройти довгий шлях у питаннях аудиту коду та практик безпеки.
Ця подія ще раз нагадує нам, що навіть у відомих проектах можуть бути серйозні технічні недоліки. Для розробників, які беруть участь у проектах блокчейн, суворе дотримання найкращих практик безпеки, проведення всебічного аудиту коду та залучення професійних команд безпеки для виявлення вразливостей є незамінними етапами.
Для звичайних користувачів цей випадок також звучить тривожним дзвоном. Участь у будь-якому блокчейн-проєкті, особливо в проєктах, що стосуються цифрових активів, вимагає обережності, ретельно вивчаючи технічний фон проєкту та заходи безпеки. Разом з тим, необхідно звертати увагу на попередження та аналітичні звіти від відомих безпекових установ у галузі, щоб своєчасно дізнаватися про потенційні ризики.
!
В цілому, ця подія не лише виявила проблеми конкретних проєктів, але й підкреслила необхідність підвищення стандартів у розробці смартконтрактів та управлінні безпекою в усій індустрії. Ми сподіваємося, що через такі уроки можна буде сприяти розвитку всього екосистеми блокчейн у більш безпечному та надійному напрямку.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
4
Репост
Поділіться
Прокоментувати
0/400
FlatTax
· 19год тому
Зробіть дозвілений список і все.
Переглянути оригіналвідповісти на0
Web3ProductManager
· 08-12 19:36
сумно... помилка новачка в їх токен-гітуванні. це буквально безпека web3 101
Переглянути оригіналвідповісти на0
GovernancePretender
· 08-12 19:36
Знову хтось підробляє білі картки, ніколи не навчаться добре
Переглянути оригіналвідповісти на0
ZKProofster
· 08-12 19:22
технічно... аматорське шоу з валідацією підписів. сміх з цих новачків
Відомий проект цифрових колекцій альянсу має суттєву вразливість: Дозволений список підтвердження підпису має дефект.
Нещодавно відома спортивна ліга запустила проект цифрових колекцій, але смартконтракти, що стоять за ним, виявили серйозні проблеми з безпекою. Технічні експерти виявили, що цей контракт має суттєву вразливість, яка дозволяє зловмисним користувачам безкоштовно мінтити велику кількість колекцій і отримувати з цього прибуток.
Ця вразливість виникла через дефект механізму перевірки підписів користувачів зі списку білих у смартконтракті. Конкретно кажучи, смартконтракт не зміг забезпечити унікальність та ексклюзивність підписів зі списку білих, що призвело до того, що зловмисники можуть повторно використовувати підписи інших користувачів зі списку білих для мінтингу колекцій.
Аналізуючи код контракту, можна виявити, що функція verify не враховує адресу відправника під час перевірки підпису. Ще більше турбує те, що контракт також не має механізму для обмеження одноразового використання підпису. Ці заходи, які мали б бути основними заходами безпеки, були проігноровані, що викликає сумнів у технічних можливостях команди проекту.
!
Такий рівень вразливості безпеки з'являється в настільки гучних проєктах, дійсно дивує. Це не лише виявляє недбалість команди розробників проєкту в питанні безпеки смартконтрактів, але й підкреслює, що індустрія блокчейн все ще має пройти довгий шлях у питаннях аудиту коду та практик безпеки.
Ця подія ще раз нагадує нам, що навіть у відомих проектах можуть бути серйозні технічні недоліки. Для розробників, які беруть участь у проектах блокчейн, суворе дотримання найкращих практик безпеки, проведення всебічного аудиту коду та залучення професійних команд безпеки для виявлення вразливостей є незамінними етапами.
Для звичайних користувачів цей випадок також звучить тривожним дзвоном. Участь у будь-якому блокчейн-проєкті, особливо в проєктах, що стосуються цифрових активів, вимагає обережності, ретельно вивчаючи технічний фон проєкту та заходи безпеки. Разом з тим, необхідно звертати увагу на попередження та аналітичні звіти від відомих безпекових установ у галузі, щоб своєчасно дізнаватися про потенційні ризики.
!
В цілому, ця подія не лише виявила проблеми конкретних проєктів, але й підкреслила необхідність підвищення стандартів у розробці смартконтрактів та управлінні безпекою в усій індустрії. Ми сподіваємося, що через такі уроки можна буде сприяти розвитку всього екосистеми блокчейн у більш безпечному та надійному напрямку.