Нещодавно велике випуск спортивних цифрових колекцій викликало широкий інтерес у галузі. Однак деякі експерти з безпеки виявили серйозні вразливості в смартконтрактах цього проєкту, які можуть бути використані злочинцями для безкоштовного мінтингу та отримання прибутку.
Ця вразливість в основному виникає через неналежний дизайн механізму перевірки підписів користувачів зі списку дозволених. Контракт не зміг забезпечити ексклюзивність та одноразове використання підписів зі списку дозволених. Таким чином, потенційні зловмисники можуть повторно використовувати підписи інших користувачів зі списку дозволених для мінтінгу колекцій.
З відкритого коду контракту видно, що функція verify має очевидні недоліки в дизайні. По-перше, вона не включає адресу відправника транзакції в процес перевірки підпису. По-друге, бракує механізму, що запобігає повторному використанню підписів. Це все мали б бути основні практики безпеки при розробці смартконтрактів, що належать до початкових знань у сфері безпеки програмного забезпечення.
!
Дивно, що така базова вразливість безпеки з'явилася в одному з великих проектів, які мають великий розголос. Це не тільки виявило недбалість команди проекту в аудиті безпеки контрактів, але й підкреслило, що в цій галузі ще далеко до стандартизації розробки смартконтрактів та усвідомлення безпеки.
Ця подія ще раз нагадує нам, що незалежно від масштабу та впливу проєкту, безпека завжди є першочерговим фактором у сфері блокчейну та цифрових колекцій. Для розробників суворе дотримання найкращих практик безпеки, проведення всебічного аудиту коду та тестування на вразливість є невід'ємними етапами. Для користувачів, перед тим як брати участь у будь-якому проєкті цифрових колекцій, також слід бути обережними щодо його безпеки та провести необхідне розслідування та оцінку.
У майбутньому, з розвитком галузі, ми сподіваємося побачити більше зусиль з боку проектних команд, розробників та експертів з безпеки для встановлення більш досконалих стандартів розробки та аудиту смартконтрактів, щоб забезпечити безпеку та сталий розвиток екосистеми цифрових колекцій.
!
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
13 лайків
Нагородити
13
7
Поділіться
Прокоментувати
0/400
TheMemefather
· 5год тому
обдурювати людей, як лохів одну хвилю і тікати Користувачі вже все зрозуміли
Переглянути оригіналвідповісти на0
DefiPlaybook
· 5год тому
Згідно з аналізом великої кількості зразків проектів, проблеми з повторним підписанням можуть призвести до втрат коштів до 65,8%.
Переглянути оригіналвідповісти на0
RugpullSurvivor
· 5год тому
Знову темно, хороші дні ще попереду
Переглянути оригіналвідповісти на0
MetaMisery
· 5год тому
Ця обізнаність про безпеку занадто низька, чи не так?
Переглянути оригіналвідповісти на0
ReverseFOMOguy
· 5год тому
Дозволений список підписів можуть мати вразливості. Гниле місце не піднімеш на стіну.
Переглянути оригіналвідповісти на0
ShibaOnTheRun
· 5год тому
Ще один флеш-крах запланований, так?
Переглянути оригіналвідповісти на0
Hash_Bandit
· 5год тому
так само, як у 2013 році... нульовий хешрейт безпеки, смх
Відомий спортивний цифровий колекційний проект виявив серйозну вразливість смартконтрактів, що попереджає про безпеку в індустрії.
Нещодавно велике випуск спортивних цифрових колекцій викликало широкий інтерес у галузі. Однак деякі експерти з безпеки виявили серйозні вразливості в смартконтрактах цього проєкту, які можуть бути використані злочинцями для безкоштовного мінтингу та отримання прибутку.
Ця вразливість в основному виникає через неналежний дизайн механізму перевірки підписів користувачів зі списку дозволених. Контракт не зміг забезпечити ексклюзивність та одноразове використання підписів зі списку дозволених. Таким чином, потенційні зловмисники можуть повторно використовувати підписи інших користувачів зі списку дозволених для мінтінгу колекцій.
З відкритого коду контракту видно, що функція verify має очевидні недоліки в дизайні. По-перше, вона не включає адресу відправника транзакції в процес перевірки підпису. По-друге, бракує механізму, що запобігає повторному використанню підписів. Це все мали б бути основні практики безпеки при розробці смартконтрактів, що належать до початкових знань у сфері безпеки програмного забезпечення.
!
Дивно, що така базова вразливість безпеки з'явилася в одному з великих проектів, які мають великий розголос. Це не тільки виявило недбалість команди проекту в аудиті безпеки контрактів, але й підкреслило, що в цій галузі ще далеко до стандартизації розробки смартконтрактів та усвідомлення безпеки.
Ця подія ще раз нагадує нам, що незалежно від масштабу та впливу проєкту, безпека завжди є першочерговим фактором у сфері блокчейну та цифрових колекцій. Для розробників суворе дотримання найкращих практик безпеки, проведення всебічного аудиту коду та тестування на вразливість є невід'ємними етапами. Для користувачів, перед тим як брати участь у будь-якому проєкті цифрових колекцій, також слід бути обережними щодо його безпеки та провести необхідне розслідування та оцінку.
У майбутньому, з розвитком галузі, ми сподіваємося побачити більше зусиль з боку проектних команд, розробників та експертів з безпеки для встановлення більш досконалих стандартів розробки та аудиту смартконтрактів, щоб забезпечити безпеку та сталий розвиток екосистеми цифрових колекцій.
!