Нещодавно один відомий спортивний альянс запустив серію цифрових колекцій, що привернуло чимало уваги. Однак під час продажу цих колекцій ми виявили тривожну проблему: смартконтракти, які використовуються для продажу цих цифрових колекцій, мають серйозні вразливості. Цю вразливість можуть використати зловмисники, безкоштовно мінтингуючи колекції та продаючи їх для отримання неправомірної вигоди.
Основною причиною цього вразливості є недолік механізму перевірки підписів користувачів білого списку в смартконтракті. Конкретно, контракт не зміг забезпечити ексклюзивність і одноразове використання підписів білого списку. Це означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для мінтингування колекцій, обходячи при цьому існуючі механізми безпеки.
!
Аналізуючи код контракту, ми виявили очевидні недоліки в дизайні функції verify. Ця функція не включає адресу відправника в процес перевірки підпису, а також не реалізує жодного механізму для забезпечення того, щоб кожен підпис міг використовуватися лише один раз. Ці заходи безпеки повинні бути базовими знаннями у розробці смартконтрактів і є ключовими кроками для забезпечення безпеки системи.
Дивно, що така базова вразливість безпеки з'явилася в такому відомому проекті. Це не лише виявило недбалість команди проекту в проведенні аудиту безпеки, але й підкреслило, що на ринку цифрових колекцій все ще існує чимало ризиків в технологічній реалізації.
Ця подія ще раз нагадує нам, що у сфері блокчейну та цифрових активів безпека завжди є найважливішим фактором. Незалежно від масштабів проекту, потрібно вкласти достатньо ресурсів у всебічний аудит безпеки, щоб забезпечити своєчасне виявлення та виправлення кожної можливої вразливості. Водночас це також попереджає покупців цифрових колекцій, що їм слід бути обережними та повністю усвідомлювати потенційні ризики під час участі у відповідних заходах.
Для учасників галузі цей випадок підкреслює важливість безперервного навчання та оновлення знань з безпеки. Зі швидким розвитком технологій виникають нові виклики безпеки, тільки підтримуючи пильність та постійно підвищуючи практики безпеки, можна дійсно захистити права користувачів та безпеку їх активів.
!
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
13 лайків
Нагородити
13
5
Поділіться
Прокоментувати
0/400
MercilessHalal
· 18год тому
Контрагент - це новачок.
Переглянути оригіналвідповісти на0
GasFeeCrying
· 18год тому
Знову дозволений список, і не можу з цим впоратися.
Переглянути оригіналвідповісти на0
FOMOmonster
· 18год тому
Дозволений список підпису також може бути кліповими купонами? Або просто подивимося на виставу.
Переглянути оригіналвідповісти на0
DegenGambler
· 18год тому
Знову велика сенсація! Дозволений список слід економно використовувати.
Відомі спортивні ліги цифрових колекцій смартконтракти мають суттєву вразливість, що викликає занепокоєння щодо ризику мінтінгу без витрат.
Нещодавно один відомий спортивний альянс запустив серію цифрових колекцій, що привернуло чимало уваги. Однак під час продажу цих колекцій ми виявили тривожну проблему: смартконтракти, які використовуються для продажу цих цифрових колекцій, мають серйозні вразливості. Цю вразливість можуть використати зловмисники, безкоштовно мінтингуючи колекції та продаючи їх для отримання неправомірної вигоди.
Основною причиною цього вразливості є недолік механізму перевірки підписів користувачів білого списку в смартконтракті. Конкретно, контракт не зміг забезпечити ексклюзивність і одноразове використання підписів білого списку. Це означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для мінтингування колекцій, обходячи при цьому існуючі механізми безпеки.
!
Аналізуючи код контракту, ми виявили очевидні недоліки в дизайні функції verify. Ця функція не включає адресу відправника в процес перевірки підпису, а також не реалізує жодного механізму для забезпечення того, щоб кожен підпис міг використовуватися лише один раз. Ці заходи безпеки повинні бути базовими знаннями у розробці смартконтрактів і є ключовими кроками для забезпечення безпеки системи.
Дивно, що така базова вразливість безпеки з'явилася в такому відомому проекті. Це не лише виявило недбалість команди проекту в проведенні аудиту безпеки, але й підкреслило, що на ринку цифрових колекцій все ще існує чимало ризиків в технологічній реалізації.
Ця подія ще раз нагадує нам, що у сфері блокчейну та цифрових активів безпека завжди є найважливішим фактором. Незалежно від масштабів проекту, потрібно вкласти достатньо ресурсів у всебічний аудит безпеки, щоб забезпечити своєчасне виявлення та виправлення кожної можливої вразливості. Водночас це також попереджає покупців цифрових колекцій, що їм слід бути обережними та повністю усвідомлювати потенційні ризики під час участі у відповідних заходах.
Для учасників галузі цей випадок підкреслює важливість безперервного навчання та оновлення знань з безпеки. Зі швидким розвитком технологій виникають нові виклики безпеки, тільки підтримуючи пильність та постійно підвищуючи практики безпеки, можна дійсно захистити права користувачів та безпеку їх активів.
!