Gần đây, một mối nguy hiểm về an ninh liên quan đến các bộ sưu tập kỹ thuật số của một liên minh thể thao nổi tiếng đã thu hút sự chú ý của các chuyên gia trong ngành. Sau khi phân tích sâu, các chuyên gia phát hiện ra rằng hợp đồng thông minh mà liên minh này sử dụng để bán các bộ sưu tập kỹ thuật số có lỗ hổng nghiêm trọng. Lỗ hổng này cho phép người dùng độc hại có thể đang đúc các bộ sưu tập với chi phí bằng không và thu lợi bất chính từ việc bán chúng.
Nguyên nhân gốc rễ của lỗ hổng bảo mật này là do cơ chế xác minh chữ ký của hợp đồng đối với người dùng trong danh sách trắng có khuyết điểm. Cụ thể, hợp đồng không đảm bảo tính độc quyền và tính sử dụng một lần của chữ ký trong danh sách trắng. Điều này có nghĩa là kẻ tấn công có thể tái sử dụng chữ ký của người dùng khác trong danh sách trắng để đang đúc bộ sưu tập, qua đó vượt qua quy trình xác minh bình thường.
Thông qua việc xem xét mã hợp đồng, chúng tôi phát hiện ra rằng hàm verify có thiếu sót rõ ràng trong thiết kế. Hàm này không đưa địa chỉ của người khởi tạo giao dịch vào quá trình xác minh chữ ký, đồng thời cũng không thực hiện cơ chế ngăn chặn việc sử dụng lại chữ ký. Những biện pháp an ninh này lẽ ra phải là kiến thức cơ bản trong phát triển hợp đồng thông minh, sự thiếu vắng của chúng khiến người ta không khỏi nghi ngờ năng lực kỹ thuật của phía dự án.
Là những người làm trong lĩnh vực blockchain, chúng tôi cảm thấy sốc khi một lỗ hổng bảo mật cơ bản như vậy xuất hiện trong các dự án nổi tiếng. Điều này không chỉ phơi bày sự sơ suất của các dự án trong việc kiểm toán an ninh, mà còn làm nổi bật rằng toàn ngành vẫn còn một chặng đường dài để đi trong việc tiêu chuẩn hóa phát triển hợp đồng thông minh và nâng cao nhận thức về an ninh.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng, bất kể quy mô dự án như thế nào, trong quá trình phát triển ứng dụng blockchain, an ninh luôn nên là yếu tố được xem xét hàng đầu. Đề nghị tất cả các bên liên quan tăng cường kiểm tra an ninh cho hợp đồng thông minh, đưa vào các tổ chức chuyên nghiệp bên thứ ba để thực hiện đánh giá toàn diện, và thiết lập quy trình kiểm tra an ninh đầy đủ để ngăn ngừa sự cố tương tự xảy ra một lần nữa.
Đối với người dùng, sự kiện này cũng đã gióng lên hồi chuông cảnh báo. Khi tham gia bất kỳ dự án blockchain nào, chúng ta nên giữ thái độ thận trọng, hiểu rõ các rủi ro tiềm tàng, và trong khả năng có thể, tiến hành điều tra cần thiết về việc thực hiện công nghệ của dự án. Chỉ khi toàn bộ hệ sinh thái cùng nhau nỗ lực, chúng ta mới có thể xây dựng một môi trường tài sản số an toàn và đáng tin cậy hơn.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
17 thích
Phần thưởng
17
8
Đăng lại
Chia sẻ
Bình luận
0/400
PumpDoctrine
· 08-12 17:01
Lại là danh sách cho phép gây rối rồi~
Xem bản gốcTrả lời0
MemecoinResearcher
· 08-11 07:58
ngmi fam... lỗi xác thực sig người mới fr fr
Xem bản gốcTrả lời0
DogeBachelor
· 08-09 19:04
Một nhà đầu tư khác đã lật xe, còn chưa ra mắt đã như vậy.
Xem bản gốcTrả lời0
NFTFreezer
· 08-09 18:57
Danh sách cho phép thật sự được cho không
Xem bản gốcTrả lời0
BlockTalk
· 08-09 18:55
又来Phiếu giảm giá了
Xem bản gốcTrả lời0
BearMarketBuyer
· 08-09 18:54
Còn bán NFT ở đó, hợp đồng có lỗ hổng không bảo vệ ai mua thì người đó xui xẻo.
Hợp đồng thông minh của bộ sưu tập kỹ thuật số liên minh thể thao nổi tiếng hiện có lỗ hổng bảo mật nghiêm trọng.
Gần đây, một mối nguy hiểm về an ninh liên quan đến các bộ sưu tập kỹ thuật số của một liên minh thể thao nổi tiếng đã thu hút sự chú ý của các chuyên gia trong ngành. Sau khi phân tích sâu, các chuyên gia phát hiện ra rằng hợp đồng thông minh mà liên minh này sử dụng để bán các bộ sưu tập kỹ thuật số có lỗ hổng nghiêm trọng. Lỗ hổng này cho phép người dùng độc hại có thể đang đúc các bộ sưu tập với chi phí bằng không và thu lợi bất chính từ việc bán chúng.
Nguyên nhân gốc rễ của lỗ hổng bảo mật này là do cơ chế xác minh chữ ký của hợp đồng đối với người dùng trong danh sách trắng có khuyết điểm. Cụ thể, hợp đồng không đảm bảo tính độc quyền và tính sử dụng một lần của chữ ký trong danh sách trắng. Điều này có nghĩa là kẻ tấn công có thể tái sử dụng chữ ký của người dùng khác trong danh sách trắng để đang đúc bộ sưu tập, qua đó vượt qua quy trình xác minh bình thường.
Thông qua việc xem xét mã hợp đồng, chúng tôi phát hiện ra rằng hàm verify có thiếu sót rõ ràng trong thiết kế. Hàm này không đưa địa chỉ của người khởi tạo giao dịch vào quá trình xác minh chữ ký, đồng thời cũng không thực hiện cơ chế ngăn chặn việc sử dụng lại chữ ký. Những biện pháp an ninh này lẽ ra phải là kiến thức cơ bản trong phát triển hợp đồng thông minh, sự thiếu vắng của chúng khiến người ta không khỏi nghi ngờ năng lực kỹ thuật của phía dự án.
Là những người làm trong lĩnh vực blockchain, chúng tôi cảm thấy sốc khi một lỗ hổng bảo mật cơ bản như vậy xuất hiện trong các dự án nổi tiếng. Điều này không chỉ phơi bày sự sơ suất của các dự án trong việc kiểm toán an ninh, mà còn làm nổi bật rằng toàn ngành vẫn còn một chặng đường dài để đi trong việc tiêu chuẩn hóa phát triển hợp đồng thông minh và nâng cao nhận thức về an ninh.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng, bất kể quy mô dự án như thế nào, trong quá trình phát triển ứng dụng blockchain, an ninh luôn nên là yếu tố được xem xét hàng đầu. Đề nghị tất cả các bên liên quan tăng cường kiểm tra an ninh cho hợp đồng thông minh, đưa vào các tổ chức chuyên nghiệp bên thứ ba để thực hiện đánh giá toàn diện, và thiết lập quy trình kiểm tra an ninh đầy đủ để ngăn ngừa sự cố tương tự xảy ra một lần nữa.
Đối với người dùng, sự kiện này cũng đã gióng lên hồi chuông cảnh báo. Khi tham gia bất kỳ dự án blockchain nào, chúng ta nên giữ thái độ thận trọng, hiểu rõ các rủi ro tiềm tàng, và trong khả năng có thể, tiến hành điều tra cần thiết về việc thực hiện công nghệ của dự án. Chỉ khi toàn bộ hệ sinh thái cùng nhau nỗ lực, chúng ta mới có thể xây dựng một môi trường tài sản số an toàn và đáng tin cậy hơn.