Нещодавно цифровий колекційний предмет, запущений відомим спортивним лігами, привернув увагу експертів з безпеки. Професіонали, перевіряючи його контракт на продаж, виявили серйозну уразливість. Ця уразливість дозволяє технічно підкованим особам створювати колекційні предмети без будь-яких витрат і отримувати з цього прибуток.
!
Проблема полягає в тому, що в механізмі перевірки підписів користувачів білого списку в контракті є недоліки. Конкретно, контракт не зміг забезпечити ексклюзивність та одноразове використання підписів білого списку. Це означає, що потенційні зловмисники можуть повторно використовувати підписи інших користувачів білого списку для карбування колекцій.
З технічної точки зору, дизайн функції verify має очевидні недоліки, оскільки адреса відправника не включена в процес перевірки підпису. Ще більш важливо, що в контракті не встановлено механізму, який би гарантовано забезпечував, що кожен підпис може використовуватися лише один раз. Ці мали б бути базовими заходами безпеки програмного забезпечення, але вони були проігноровані в цьому широко обговорюваному проекті.
!
Експерти з безпеки були вражені цим і вважають, що такі основні практики безпеки повинні бути невід'ємною частиною будь-якого процесу розробки проектів на блокчейні. Вони підкреслюють, що навіть добре відомі проекти не можуть ігнорувати найосновніші етапи аудиту безпеки.
Ця подія знову підкреслила важливість безпеки в сфері блокчейну та цифрових активів, яку не можна ігнорувати. Для розробників та інвесторів, які беруть участь у таких проектах, посилення обізнаності про безпеку та проведення комплексних аудитів безпеки стане одним із ключових факторів успіху майбутніх проектів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
7 лайків
Нагородити
7
7
Поділіться
Прокоментувати
0/400
BridgeJumper
· 17год тому
Просто так запустили?
Переглянути оригіналвідповісти на0
SatoshiLegend
· 18год тому
З точки зору вихідного коду історія завжди повторюється
Переглянути оригіналвідповісти на0
DaoGovernanceOfficer
· 18год тому
*sigh* ще один протокол, що пропускає базові заходи безпеки... передбачувано, якщо чесно
Переглянути оригіналвідповісти на0
MissingSats
· 18год тому
Знову дозвіл на повторну атаку безпеки занадто поганий
Переглянути оригіналвідповісти на0
ClassicDumpster
· 18год тому
Ця помилка справді смачна До місяця
Переглянути оригіналвідповісти на0
DaoDeveloper
· 18год тому
сумно... базова перевірка повторного входу вловила б це
Переглянути оригіналвідповісти на0
ApeWithAPlan
· 18год тому
Контракт має таку велику уразливість, як пройшла ця відповідність?
Відомі спортивні ліги цифрові колекційні контракти мають серйозні вразливості, Хакер може безкоштовно мінтити для отримання прибутку
Нещодавно цифровий колекційний предмет, запущений відомим спортивним лігами, привернув увагу експертів з безпеки. Професіонали, перевіряючи його контракт на продаж, виявили серйозну уразливість. Ця уразливість дозволяє технічно підкованим особам створювати колекційні предмети без будь-яких витрат і отримувати з цього прибуток.
!
Проблема полягає в тому, що в механізмі перевірки підписів користувачів білого списку в контракті є недоліки. Конкретно, контракт не зміг забезпечити ексклюзивність та одноразове використання підписів білого списку. Це означає, що потенційні зловмисники можуть повторно використовувати підписи інших користувачів білого списку для карбування колекцій.
З технічної точки зору, дизайн функції verify має очевидні недоліки, оскільки адреса відправника не включена в процес перевірки підпису. Ще більш важливо, що в контракті не встановлено механізму, який би гарантовано забезпечував, що кожен підпис може використовуватися лише один раз. Ці мали б бути базовими заходами безпеки програмного забезпечення, але вони були проігноровані в цьому широко обговорюваному проекті.
!
Експерти з безпеки були вражені цим і вважають, що такі основні практики безпеки повинні бути невід'ємною частиною будь-якого процесу розробки проектів на блокчейні. Вони підкреслюють, що навіть добре відомі проекти не можуть ігнорувати найосновніші етапи аудиту безпеки.
Ця подія знову підкреслила важливість безпеки в сфері блокчейну та цифрових активів, яку не можна ігнорувати. Для розробників та інвесторів, які беруть участь у таких проектах, посилення обізнаності про безпеку та проведення комплексних аудитів безпеки стане одним із ключових факторів успіху майбутніх проектів.