Baru-baru ini, sebuah liga olahraga terkenal meluncurkan serangkaian koleksi digital, yang menarik banyak perhatian. Namun, selama proses penjualan koleksi ini, kami menemukan masalah yang mengkhawatirkan: smart contract yang digunakan untuk menjual koleksi digital ini memiliki celah serius. Celah ini dapat dimanfaatkan oleh pihak-pihak yang tidak bertanggung jawab untuk mencetak koleksi tanpa biaya dan menjualnya untuk mendapatkan keuntungan yang tidak layak.
Penyebab utama dari celah ini terletak pada mekanisme verifikasi tanda tangan pengguna daftar putih dalam kontrak. Secara spesifik, kontrak gagal memastikan eksklusivitas dan penggunaan satu kali dari tanda tangan daftar putih. Ini berarti penyerang dapat menggunakan kembali tanda tangan pengguna daftar putih lainnya untuk pencetakan koleksi, sehingga melewati mekanisme keamanan yang ada.
Dengan menganalisis kode kontrak, kami menemukan bahwa fungsi verify memiliki cacat desain yang jelas. Fungsi ini tidak memasukkan alamat pengirim ke dalam proses verifikasi tanda tangan, dan juga tidak menerapkan mekanisme apa pun untuk memastikan bahwa setiap tanda tangan hanya dapat digunakan sekali. Langkah-langkah keamanan ini seharusnya menjadi pengetahuan dasar dalam pengembangan smart contract, dan merupakan langkah kunci untuk memastikan keamanan sistem.
Sungguh mengejutkan bahwa celah keamanan yang begitu mendasar muncul dalam sebuah proyek yang sangat diperhatikan. Ini tidak hanya mengungkapkan kelalaian pihak proyek dalam audit keamanan, tetapi juga menyoroti bahwa pasar koleksi digital masih memiliki banyak risiko dalam implementasi teknologinya.
Peristiwa ini sekali lagi mengingatkan kita bahwa dalam bidang blockchain dan aset digital, keamanan selalu menjadi faktor yang paling utama. Terlepas dari ukuran proyek, harus ada alokasi sumber daya yang cukup untuk melakukan audit keamanan yang komprehensif, memastikan setiap kemungkinan celah dapat terdeteksi dan diperbaiki dengan segera. Pada saat yang sama, ini juga memperingatkan pembeli koleksi digital untuk tetap waspada dan sepenuhnya memahami risiko yang mungkin ada saat terlibat dalam kegiatan terkait.
Untuk para pelaku industri, kasus ini menekankan pentingnya terus belajar dan memperbarui pengetahuan keamanan. Dengan perkembangan teknologi yang cepat, tantangan keamanan baru terus muncul, hanya dengan tetap waspada dan terus meningkatkan praktik keamanan, kita dapat benar-benar melindungi hak dan keamanan aset pengguna.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
13 Suka
Hadiah
13
5
Bagikan
Komentar
0/400
MercilessHalal
· 20jam yang lalu
Pihak kontrak adalah Cai Niao Ma
Lihat AsliBalas0
GasFeeCrying
· 20jam yang lalu
Ini adalah Allowlist lagi dan tidak bisa ditangani.
Lihat AsliBalas0
FOMOmonster
· 20jam yang lalu
Allowlist tanda tangan juga bisa Kupon Klip? Mari kita lihat pertunjukan yang bagus.
Lihat AsliBalas0
DegenGambler
· 20jam yang lalu
Sekali lagi, ada berita besar! Allowlist harus digunakan dengan bijak.
Kontrak pintar koleksi digital liga olahraga terkenal kini memiliki kerentanan serius. Risiko pencetakan tanpa biaya menimbulkan kekhawatiran.
Baru-baru ini, sebuah liga olahraga terkenal meluncurkan serangkaian koleksi digital, yang menarik banyak perhatian. Namun, selama proses penjualan koleksi ini, kami menemukan masalah yang mengkhawatirkan: smart contract yang digunakan untuk menjual koleksi digital ini memiliki celah serius. Celah ini dapat dimanfaatkan oleh pihak-pihak yang tidak bertanggung jawab untuk mencetak koleksi tanpa biaya dan menjualnya untuk mendapatkan keuntungan yang tidak layak.
Penyebab utama dari celah ini terletak pada mekanisme verifikasi tanda tangan pengguna daftar putih dalam kontrak. Secara spesifik, kontrak gagal memastikan eksklusivitas dan penggunaan satu kali dari tanda tangan daftar putih. Ini berarti penyerang dapat menggunakan kembali tanda tangan pengguna daftar putih lainnya untuk pencetakan koleksi, sehingga melewati mekanisme keamanan yang ada.
Dengan menganalisis kode kontrak, kami menemukan bahwa fungsi verify memiliki cacat desain yang jelas. Fungsi ini tidak memasukkan alamat pengirim ke dalam proses verifikasi tanda tangan, dan juga tidak menerapkan mekanisme apa pun untuk memastikan bahwa setiap tanda tangan hanya dapat digunakan sekali. Langkah-langkah keamanan ini seharusnya menjadi pengetahuan dasar dalam pengembangan smart contract, dan merupakan langkah kunci untuk memastikan keamanan sistem.
Sungguh mengejutkan bahwa celah keamanan yang begitu mendasar muncul dalam sebuah proyek yang sangat diperhatikan. Ini tidak hanya mengungkapkan kelalaian pihak proyek dalam audit keamanan, tetapi juga menyoroti bahwa pasar koleksi digital masih memiliki banyak risiko dalam implementasi teknologinya.
Peristiwa ini sekali lagi mengingatkan kita bahwa dalam bidang blockchain dan aset digital, keamanan selalu menjadi faktor yang paling utama. Terlepas dari ukuran proyek, harus ada alokasi sumber daya yang cukup untuk melakukan audit keamanan yang komprehensif, memastikan setiap kemungkinan celah dapat terdeteksi dan diperbaiki dengan segera. Pada saat yang sama, ini juga memperingatkan pembeli koleksi digital untuk tetap waspada dan sepenuhnya memahami risiko yang mungkin ada saat terlibat dalam kegiatan terkait.
Untuk para pelaku industri, kasus ini menekankan pentingnya terus belajar dan memperbarui pengetahuan keamanan. Dengan perkembangan teknologi yang cepat, tantangan keamanan baru terus muncul, hanya dengan tetap waspada dan terus meningkatkan praktik keamanan, kita dapat benar-benar melindungi hak dan keamanan aset pengguna.