Нещодавно безпека цифрових колекцій, пов'язаних з відомою спортивною лігою, привернула увагу експертів галузі. Після глибокого аналізу експерти виявили серйозні вразливості в смартконтрактах, які ліга використовує для продажу цифрових колекцій. Ця вразливість дозволяє зловмисникам мінтити колекції безкоштовно і отримувати неправомірну вигоду від продажу.
Основною причиною цієї вразливості безпеки є недолік механізму перевірки підписів користувачів білого списку в смартконтрактах. Зокрема, контракт не зміг забезпечити ексклюзивність і одноразове використання підписів білого списку. Це означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для мінтингу колекцій, обходячи нормальний процес перевірки.
Провівши перевірку коду контракту, ми виявили очевидні недоліки в дизайні функції verify. Ця функція не включає адресу ініціатора транзакції в процес верифікації підпису, а також не реалізує механізм, що запобігає повторному використанню підпису. Ці заходи безпеки мали б бути основними знаннями в розробці смартконтрактів, їх відсутність викликає сумніви в технічних можливостях команди проекту.
!
Як професіонали у сфері блокчейну, ми шоковані появою такої базової вразливості в проектах з високою репутацією. Це не лише виявляє недбалість розробників у проведенні безпекових аудитів, але й підкреслює, що ціла індустрія має ще довгий шлях у стандартизації розробки смартконтрактів та підвищенні обізнаності про безпеку.
Ця подія ще раз нагадує нам, що незалежно від масштабу проекту, безпека завжди повинна бути першочерговим фактором у процесі розробки застосунків на блокчейні. Рекомендується всім зацікавленим сторонам посилити аудит безпеки смартконтрактів, залучити третіх сторін для проведення комплексної оцінки та створити надійний процес тестування безпеки, щоб запобігти повторенню подібних вразливостей.
Для користувачів ця подія також стала тривожним сигналом. Участь у будь-якому блокчейн-проєкті вимагає від нас обережності, розуміння потенційних ризиків та, де це можливо, проведення необхідного розслідування технічної реалізації проєкту. Лише за спільних зусиль усієї екосистеми ми зможемо побудувати більш безпечне та надійне середовище для цифрових активів.
!
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Відомий спортивний альянс цифрових колекцій смартконтракти тепер має серйозну вразливість безпеки.
Нещодавно безпека цифрових колекцій, пов'язаних з відомою спортивною лігою, привернула увагу експертів галузі. Після глибокого аналізу експерти виявили серйозні вразливості в смартконтрактах, які ліга використовує для продажу цифрових колекцій. Ця вразливість дозволяє зловмисникам мінтити колекції безкоштовно і отримувати неправомірну вигоду від продажу.
Основною причиною цієї вразливості безпеки є недолік механізму перевірки підписів користувачів білого списку в смартконтрактах. Зокрема, контракт не зміг забезпечити ексклюзивність і одноразове використання підписів білого списку. Це означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для мінтингу колекцій, обходячи нормальний процес перевірки.
Провівши перевірку коду контракту, ми виявили очевидні недоліки в дизайні функції verify. Ця функція не включає адресу ініціатора транзакції в процес верифікації підпису, а також не реалізує механізм, що запобігає повторному використанню підпису. Ці заходи безпеки мали б бути основними знаннями в розробці смартконтрактів, їх відсутність викликає сумніви в технічних можливостях команди проекту.
!
Як професіонали у сфері блокчейну, ми шоковані появою такої базової вразливості в проектах з високою репутацією. Це не лише виявляє недбалість розробників у проведенні безпекових аудитів, але й підкреслює, що ціла індустрія має ще довгий шлях у стандартизації розробки смартконтрактів та підвищенні обізнаності про безпеку.
Ця подія ще раз нагадує нам, що незалежно від масштабу проекту, безпека завжди повинна бути першочерговим фактором у процесі розробки застосунків на блокчейні. Рекомендується всім зацікавленим сторонам посилити аудит безпеки смартконтрактів, залучити третіх сторін для проведення комплексної оцінки та створити надійний процес тестування безпеки, щоб запобігти повторенню подібних вразливостей.
Для користувачів ця подія також стала тривожним сигналом. Участь у будь-якому блокчейн-проєкті вимагає від нас обережності, розуміння потенційних ризиків та, де це можливо, проведення необхідного розслідування технічної реалізації проєкту. Лише за спільних зусиль усієї екосистеми ми зможемо побудувати більш безпечне та надійне середовище для цифрових активів.
!