Baru-baru ini, sebuah isu terkait dengan risiko keamanan dari koleksi digital suatu liga olahraga terkenal menarik perhatian para ahli di industri. Setelah analisis mendalam, para ahli menemukan bahwa smart contract yang digunakan oleh liga untuk menjual koleksi digital memiliki celah serius. Celah ini memungkinkan pengguna jahat untuk mencetak koleksi dengan biaya nol dan mendapatkan keuntungan yang tidak semestinya melalui penjualan.
Penyebab mendasar dari celah keamanan ini adalah adanya cacat dalam mekanisme verifikasi tanda tangan pengguna daftar putih pada kontrak. Secara spesifik, kontrak tidak berhasil memastikan eksklusivitas dan penggunaan satu kali dari tanda tangan daftar putih. Ini berarti penyerang dapat memanfaatkan kembali tanda tangan pengguna daftar putih lainnya untuk pencetakan koleksi, sehingga dapat melewati proses verifikasi yang normal.
Melalui pemeriksaan kode kontrak, kami menemukan bahwa fungsi verify memiliki cacat desain yang jelas. Fungsi ini tidak menyertakan alamat peng发起交易 dalam proses verifikasi tanda tangan, dan juga tidak menerapkan mekanisme untuk mencegah penggunaan ulang tanda tangan. Langkah-langkah keamanan ini seharusnya menjadi pengetahuan dasar dalam pengembangan smart contract, dan ketiadaan mereka menimbulkan keraguan terhadap kemampuan teknis pihak proyek.
Sebagai praktisi di bidang blockchain, kami sangat terkejut dengan munculnya celah keamanan yang begitu mendasar di proyek-proyek dengan reputasi tinggi. Ini tidak hanya mengungkapkan kelalaian pihak proyek dalam audit keamanan, tetapi juga menyoroti bahwa seluruh industri masih memiliki jalan panjang untuk ditempuh dalam standardisasi pengembangan smart contract dan peningkatan kesadaran keamanan.
Peristiwa ini kembali mengingatkan kita, betapa pun besar skala proyeknya, keamanan harus selalu menjadi faktor utama yang dipertimbangkan dalam proses pengembangan aplikasi blockchain. Disarankan agar semua pihak terkait memperkuat audit keamanan untuk smart contract, melibatkan lembaga profesional pihak ketiga untuk melakukan evaluasi menyeluruh, dan membangun proses pengujian keamanan yang baik untuk mencegah terjadinya kerentanan serupa di masa mendatang.
Bagi pengguna, peristiwa ini juga menjadi peringatan. Saat terlibat dalam proyek blockchain apa pun, kita harus tetap waspada, memahami risiko potensial, dan melakukan penyelidikan yang diperlukan terhadap implementasi teknis proyek jika memungkinkan. Hanya dengan upaya bersama dari seluruh ekosistem, kita dapat membangun lingkungan aset digital yang lebih aman dan lebih andal.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
17 Suka
Hadiah
17
8
Posting ulang
Bagikan
Komentar
0/400
PumpDoctrine
· 36menit yang lalu
Oh, ada lagi yang diurus oleh Allowlist~
Lihat AsliBalas0
MemecoinResearcher
· 08-11 07:58
ngmi fam... kesalahan validasi tanda tangan pemula fr fr
Lihat AsliBalas0
DogeBachelor
· 08-09 19:04
Satu lagi yang gagal, bahkan sebelum diluncurkan sudah begini.
Lihat AsliBalas0
NFTFreezer
· 08-09 18:57
Allowlist benar-benar diberikan secara gratis
Lihat AsliBalas0
BlockTalk
· 08-09 18:55
又来Kupon Klip了
Lihat AsliBalas0
BearMarketBuyer
· 08-09 18:54
Masih jual NFT di sana, siapa yang beli siapa yang sial jika ada celah kontrak yang tidak tercover.
Lihat AsliBalas0
WinterWarmthCat
· 08-09 18:45
smart contract kembali mengalami bug, melihatnya saja sudah sakit hati.
Lihat AsliBalas0
MEVSandwich
· 08-09 18:41
Ada proyek yang lagi-lagi dibajak, sekarang benar-benar ramai.
Kontrak pintar koleksi digital liga olahraga terkenal sekarang memiliki kerentanan keamanan yang signifikan
Baru-baru ini, sebuah isu terkait dengan risiko keamanan dari koleksi digital suatu liga olahraga terkenal menarik perhatian para ahli di industri. Setelah analisis mendalam, para ahli menemukan bahwa smart contract yang digunakan oleh liga untuk menjual koleksi digital memiliki celah serius. Celah ini memungkinkan pengguna jahat untuk mencetak koleksi dengan biaya nol dan mendapatkan keuntungan yang tidak semestinya melalui penjualan.
Penyebab mendasar dari celah keamanan ini adalah adanya cacat dalam mekanisme verifikasi tanda tangan pengguna daftar putih pada kontrak. Secara spesifik, kontrak tidak berhasil memastikan eksklusivitas dan penggunaan satu kali dari tanda tangan daftar putih. Ini berarti penyerang dapat memanfaatkan kembali tanda tangan pengguna daftar putih lainnya untuk pencetakan koleksi, sehingga dapat melewati proses verifikasi yang normal.
Melalui pemeriksaan kode kontrak, kami menemukan bahwa fungsi verify memiliki cacat desain yang jelas. Fungsi ini tidak menyertakan alamat peng发起交易 dalam proses verifikasi tanda tangan, dan juga tidak menerapkan mekanisme untuk mencegah penggunaan ulang tanda tangan. Langkah-langkah keamanan ini seharusnya menjadi pengetahuan dasar dalam pengembangan smart contract, dan ketiadaan mereka menimbulkan keraguan terhadap kemampuan teknis pihak proyek.
Sebagai praktisi di bidang blockchain, kami sangat terkejut dengan munculnya celah keamanan yang begitu mendasar di proyek-proyek dengan reputasi tinggi. Ini tidak hanya mengungkapkan kelalaian pihak proyek dalam audit keamanan, tetapi juga menyoroti bahwa seluruh industri masih memiliki jalan panjang untuk ditempuh dalam standardisasi pengembangan smart contract dan peningkatan kesadaran keamanan.
Peristiwa ini kembali mengingatkan kita, betapa pun besar skala proyeknya, keamanan harus selalu menjadi faktor utama yang dipertimbangkan dalam proses pengembangan aplikasi blockchain. Disarankan agar semua pihak terkait memperkuat audit keamanan untuk smart contract, melibatkan lembaga profesional pihak ketiga untuk melakukan evaluasi menyeluruh, dan membangun proses pengujian keamanan yang baik untuk mencegah terjadinya kerentanan serupa di masa mendatang.
Bagi pengguna, peristiwa ini juga menjadi peringatan. Saat terlibat dalam proyek blockchain apa pun, kita harus tetap waspada, memahami risiko potensial, dan melakukan penyelidikan yang diperlukan terhadap implementasi teknis proyek jika memungkinkan. Hanya dengan upaya bersama dari seluruh ekosistem, kita dapat membangun lingkungan aset digital yang lebih aman dan lebih andal.