Gần đây, một liên đoàn thể thao nổi tiếng đã ra mắt dự án sưu tập kỹ thuật số, nhưng hợp đồng thông minh đứng sau nó lại bộc lộ ra những lỗ hổng bảo mật nghiêm trọng. Các chuyên gia kỹ thuật phát hiện ra rằng, hợp đồng này có những lỗ hổng lớn, cho phép người dùng độc hại có thể đang đúc một số lượng lớn sưu tập mà không phải trả bất kỳ chi phí nào và từ đó kiếm lợi.
Nguồn gốc của lỗ hổng này nằm ở việc cơ chế xác minh chữ ký của người dùng trong danh sách trắng của hợp đồng có khuyết điểm. Cụ thể, hợp đồng không đảm bảo tính duy nhất và tính riêng biệt của chữ ký trong danh sách trắng, dẫn đến việc kẻ tấn công có thể tái sử dụng chữ ký của các người dùng trong danh sách trắng khác để đang đúc các bộ sưu tập.
Thông qua việc phân tích mã hợp đồng, có thể thấy hàm verify không xem xét địa chỉ người gửi trong quá trình xác thực chữ ký. Điều khiến người ta lo ngại hơn nữa là hợp đồng cũng không thiết lập cơ chế để hạn chế việc sử dụng chữ ký một lần. Những điều này lẽ ra phải là các biện pháp an toàn cơ bản nhưng lại bị bỏ qua, khiến người ta không khỏi nghi ngờ về khả năng kỹ thuật của đội ngũ dự án.
Mức độ lỗ hổng bảo mật này xuất hiện trong một dự án nổi bật như vậy thật sự là điều đáng ngạc nhiên. Nó không chỉ phơi bày sự sơ suất của đội ngũ phát triển dự án trong việc đảm bảo an toàn cho hợp đồng thông minh, mà còn làm nổi bật rằng ngành công nghiệp blockchain vẫn còn rất nhiều việc phải làm trong việc kiểm toán mã và thực hành an toàn.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng, ngay cả những dự án nổi tiếng cũng có thể tồn tại những thiếu sót kỹ thuật nghiêm trọng. Đối với các nhà phát triển tham gia vào các dự án blockchain, việc tuân thủ nghiêm ngặt các thực hành an toàn tốt nhất, thực hiện kiểm toán mã toàn diện, và thuê các đội ngũ an ninh chuyên nghiệp để kiểm tra lỗ hổng là những bước không thể thiếu.
Đối với người dùng thông thường, trường hợp này cũng đã gióng lên hồi chuông cảnh báo. Khi tham gia bất kỳ dự án blockchain nào, đặc biệt là những dự án liên quan đến tài sản kỹ thuật số, cần phải giữ thái độ thận trọng, hiểu rõ nền tảng kỹ thuật và các biện pháp an toàn của dự án. Đồng thời, cũng cần chú ý đến các cảnh báo và báo cáo phân tích do các tổ chức an toàn nổi tiếng trong ngành công bố, để kịp thời nhận biết các rủi ro tiềm ẩn.
Tổng thể, sự kiện này không chỉ phơi bày vấn đề của các dự án cụ thể, mà còn làm nổi bật không gian cần nâng cao trong phát triển hợp đồng thông minh và quản lý an toàn của toàn ngành. Chúng tôi hy vọng rằng qua những bài học như vậy, có thể thúc đẩy toàn bộ hệ sinh thái blockchain phát triển theo hướng an toàn và đáng tin cậy hơn.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
16 thích
Phần thưởng
16
4
Đăng lại
Chia sẻ
Bình luận
0/400
FlatTax
· 16giờ trước
Làm một danh sách cho phép là xong.
Xem bản gốcTrả lời0
Web3ProductManager
· 08-12 19:36
smh... sai lầm của người mới trong việc bảo mật token. đây thực sự là bảo mật web3 101
Xem bản gốcTrả lời0
GovernancePretender
· 08-12 19:36
Lại có người làm trắng đơn nữa, mãi mãi không biết ngoan.
Xem bản gốcTrả lời0
ZKProofster
· 08-12 19:22
về mặt kỹ thuật... giờ phút nghiệp dư với việc xác thực chữ ký. thật đáng tiếc với những sai lầm của những người mới bắt đầu này
Dự án sưu tầm kỹ thuật số liên minh nổi tiếng hiện có lỗ hổng nghiêm trọng Danh sách cho phép xác minh chữ ký có thiếu sót
Gần đây, một liên đoàn thể thao nổi tiếng đã ra mắt dự án sưu tập kỹ thuật số, nhưng hợp đồng thông minh đứng sau nó lại bộc lộ ra những lỗ hổng bảo mật nghiêm trọng. Các chuyên gia kỹ thuật phát hiện ra rằng, hợp đồng này có những lỗ hổng lớn, cho phép người dùng độc hại có thể đang đúc một số lượng lớn sưu tập mà không phải trả bất kỳ chi phí nào và từ đó kiếm lợi.
Nguồn gốc của lỗ hổng này nằm ở việc cơ chế xác minh chữ ký của người dùng trong danh sách trắng của hợp đồng có khuyết điểm. Cụ thể, hợp đồng không đảm bảo tính duy nhất và tính riêng biệt của chữ ký trong danh sách trắng, dẫn đến việc kẻ tấn công có thể tái sử dụng chữ ký của các người dùng trong danh sách trắng khác để đang đúc các bộ sưu tập.
Thông qua việc phân tích mã hợp đồng, có thể thấy hàm verify không xem xét địa chỉ người gửi trong quá trình xác thực chữ ký. Điều khiến người ta lo ngại hơn nữa là hợp đồng cũng không thiết lập cơ chế để hạn chế việc sử dụng chữ ký một lần. Những điều này lẽ ra phải là các biện pháp an toàn cơ bản nhưng lại bị bỏ qua, khiến người ta không khỏi nghi ngờ về khả năng kỹ thuật của đội ngũ dự án.
Mức độ lỗ hổng bảo mật này xuất hiện trong một dự án nổi bật như vậy thật sự là điều đáng ngạc nhiên. Nó không chỉ phơi bày sự sơ suất của đội ngũ phát triển dự án trong việc đảm bảo an toàn cho hợp đồng thông minh, mà còn làm nổi bật rằng ngành công nghiệp blockchain vẫn còn rất nhiều việc phải làm trong việc kiểm toán mã và thực hành an toàn.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng, ngay cả những dự án nổi tiếng cũng có thể tồn tại những thiếu sót kỹ thuật nghiêm trọng. Đối với các nhà phát triển tham gia vào các dự án blockchain, việc tuân thủ nghiêm ngặt các thực hành an toàn tốt nhất, thực hiện kiểm toán mã toàn diện, và thuê các đội ngũ an ninh chuyên nghiệp để kiểm tra lỗ hổng là những bước không thể thiếu.
Đối với người dùng thông thường, trường hợp này cũng đã gióng lên hồi chuông cảnh báo. Khi tham gia bất kỳ dự án blockchain nào, đặc biệt là những dự án liên quan đến tài sản kỹ thuật số, cần phải giữ thái độ thận trọng, hiểu rõ nền tảng kỹ thuật và các biện pháp an toàn của dự án. Đồng thời, cũng cần chú ý đến các cảnh báo và báo cáo phân tích do các tổ chức an toàn nổi tiếng trong ngành công bố, để kịp thời nhận biết các rủi ro tiềm ẩn.
Tổng thể, sự kiện này không chỉ phơi bày vấn đề của các dự án cụ thể, mà còn làm nổi bật không gian cần nâng cao trong phát triển hợp đồng thông minh và quản lý an toàn của toàn ngành. Chúng tôi hy vọng rằng qua những bài học như vậy, có thể thúc đẩy toàn bộ hệ sinh thái blockchain phát triển theo hướng an toàn và đáng tin cậy hơn.