Baru-baru ini, sebuah liga olahraga terkenal meluncurkan proyek koleksi digital, tetapi kontrak pintar di baliknya mengungkapkan risiko keamanan yang serius. Para ahli teknologi menemukan bahwa kontrak tersebut memiliki celah besar yang memungkinkan pengguna jahat untuk mencetak banyak koleksi tanpa biaya dan meraih keuntungan darinya.
Sumber kerentanan ini terletak pada mekanisme verifikasi tanda tangan pengguna daftar putih dalam kontrak. Secara spesifik, kontrak gagal memastikan keunikan dan eksklusivitas tanda tangan daftar putih, yang memungkinkan penyerang untuk memanfaatkan kembali tanda tangan pengguna daftar putih lainnya untuk pencetakan koleksi.
Dengan menganalisis kode kontrak, dapat ditemukan bahwa fungsi verify tidak mempertimbangkan alamat pengirim saat memverifikasi tanda tangan. Yang lebih mengkhawatirkan adalah kontrak juga tidak menetapkan mekanisme untuk membatasi penggunaan tanda tangan satu kali. Praktik-praktik yang seharusnya menjadi langkah keamanan dasar ini justru diabaikan, membuat kita meragukan kemampuan teknis dari pihak proyek.
Kelemahan keamanan tingkat ini muncul di proyek yang begitu mencolok, benar-benar mengejutkan. Ini tidak hanya mengungkapkan kelalaian tim pengembang proyek dalam hal keamanan smart contract, tetapi juga menyoroti bahwa industri blockchain masih memiliki jalan panjang dalam hal audit kode dan praktik keamanan.
Peristiwa ini sekali lagi mengingatkan kita bahwa bahkan proyek yang sangat terkenal pun dapat memiliki cacat teknis yang serius. Bagi pengembang yang terlibat dalam proyek blockchain, mematuhi praktik terbaik keamanan dengan ketat, melakukan audit kode secara menyeluruh, serta mempekerjakan tim keamanan profesional untuk mendeteksi kerentanan adalah langkah-langkah yang tidak dapat diabaikan.
Bagi pengguna biasa, kasus ini juga menjadi peringatan. Saat terlibat dalam proyek blockchain apa pun, terutama yang melibatkan aset digital, sangat penting untuk tetap berhati-hati dan memahami latar belakang teknis serta langkah-langkah keamanan proyek tersebut. Selain itu, juga harus memperhatikan peringatan dan laporan analisis yang diterbitkan oleh lembaga keamanan terkemuka di industri, agar dapat memahami risiko yang mungkin ada.
Secara keseluruhan, peristiwa ini tidak hanya mengungkapkan masalah pada proyek tertentu, tetapi juga menyoroti kebutuhan mendesak untuk meningkatkan pengembangan dan manajemen keamanan smart contract di seluruh industri. Kami berharap melalui pelajaran seperti ini, seluruh ekosistem blockchain dapat bergerak ke arah yang lebih aman dan terpercaya.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
16 Suka
Hadiah
16
4
Posting ulang
Bagikan
Komentar
0/400
FlatTax
· 21jam yang lalu
Lakukan sedikit Allowlist dan selesai.
Lihat AsliBalas0
Web3ProductManager
· 08-12 19:36
smh... kesalahan pemula pada token-gating mereka. ini benar-benar dasar keamanan web3 101
Lihat AsliBalas0
GovernancePretender
· 08-12 19:36
Ada orang yang lagi membuat akun palsu, tidak akan pernah belajar dengan baik.
Lihat AsliBalas0
ZKProofster
· 08-12 19:22
secara teknis... jam amatir dengan validasi tanda tangan. smh pada kesalahan pemula ini
Proyek koleksi digital aliansi terkenal sekarang memiliki kerentanan besar, verifikasi tanda tangan Allowlist memiliki cacat.
Baru-baru ini, sebuah liga olahraga terkenal meluncurkan proyek koleksi digital, tetapi kontrak pintar di baliknya mengungkapkan risiko keamanan yang serius. Para ahli teknologi menemukan bahwa kontrak tersebut memiliki celah besar yang memungkinkan pengguna jahat untuk mencetak banyak koleksi tanpa biaya dan meraih keuntungan darinya.
Sumber kerentanan ini terletak pada mekanisme verifikasi tanda tangan pengguna daftar putih dalam kontrak. Secara spesifik, kontrak gagal memastikan keunikan dan eksklusivitas tanda tangan daftar putih, yang memungkinkan penyerang untuk memanfaatkan kembali tanda tangan pengguna daftar putih lainnya untuk pencetakan koleksi.
Dengan menganalisis kode kontrak, dapat ditemukan bahwa fungsi verify tidak mempertimbangkan alamat pengirim saat memverifikasi tanda tangan. Yang lebih mengkhawatirkan adalah kontrak juga tidak menetapkan mekanisme untuk membatasi penggunaan tanda tangan satu kali. Praktik-praktik yang seharusnya menjadi langkah keamanan dasar ini justru diabaikan, membuat kita meragukan kemampuan teknis dari pihak proyek.
Kelemahan keamanan tingkat ini muncul di proyek yang begitu mencolok, benar-benar mengejutkan. Ini tidak hanya mengungkapkan kelalaian tim pengembang proyek dalam hal keamanan smart contract, tetapi juga menyoroti bahwa industri blockchain masih memiliki jalan panjang dalam hal audit kode dan praktik keamanan.
Peristiwa ini sekali lagi mengingatkan kita bahwa bahkan proyek yang sangat terkenal pun dapat memiliki cacat teknis yang serius. Bagi pengembang yang terlibat dalam proyek blockchain, mematuhi praktik terbaik keamanan dengan ketat, melakukan audit kode secara menyeluruh, serta mempekerjakan tim keamanan profesional untuk mendeteksi kerentanan adalah langkah-langkah yang tidak dapat diabaikan.
Bagi pengguna biasa, kasus ini juga menjadi peringatan. Saat terlibat dalam proyek blockchain apa pun, terutama yang melibatkan aset digital, sangat penting untuk tetap berhati-hati dan memahami latar belakang teknis serta langkah-langkah keamanan proyek tersebut. Selain itu, juga harus memperhatikan peringatan dan laporan analisis yang diterbitkan oleh lembaga keamanan terkemuka di industri, agar dapat memahami risiko yang mungkin ada.
Secara keseluruhan, peristiwa ini tidak hanya mengungkapkan masalah pada proyek tertentu, tetapi juga menyoroti kebutuhan mendesak untuk meningkatkan pengembangan dan manajemen keamanan smart contract di seluruh industri. Kami berharap melalui pelajaran seperti ini, seluruh ekosistem blockchain dapat bergerak ke arah yang lebih aman dan terpercaya.