Proyek koleksi digital dari liga olahraga terkenal mengungkapkan celah keamanan yang serius, risiko pencetakan tanpa biaya memicu kewaspadaan industri.

Baru-baru ini, sebuah liga olahraga terkenal meluncurkan seri koleksi digitalnya, tetapi langkah ini mengungkapkan celah keamanan yang mengkhawatirkan. Setelah analisis cermat, kami menemukan bahwa smart contract yang digunakan untuk menjual koleksi digital tersebut memiliki cacat yang serius. Celah ini memungkinkan pelaku jahat untuk mencetak koleksi dengan biaya nol, dan memperoleh keuntungan dengan menjual koleksi yang didapat secara ilegal ini.

Penyebab mendasar dari risiko keamanan ini terletak pada cacat desain mekanisme verifikasi tanda tangan pengguna whitelist. Secara spesifik, kontrak tidak berhasil memastikan eksklusivitas dan penggunaan tunggal tanda tangan whitelist. Ini berarti penyerang dapat menggunakan kembali tanda tangan pengguna whitelist lain untuk mencetak koleksi, sehingga menghindari batasan keamanan yang ada.

Melalui pemeriksaan mendalam terhadap kode kontrak, kami menemukan bahwa fungsi verify memiliki cacat desain yang jelas. Fungsi ini tidak memasukkan alamat pengirim transaksi ke dalam proses verifikasi tanda tangan, dan juga kurangnya mekanisme untuk mencegah penggunaan ulang tanda tangan. Ini seharusnya merupakan praktik keamanan dasar, namun diabaikan dalam proyek yang sangat diperhatikan ini.

Kekurangan keamanan pada tingkat ini muncul di proyek yang begitu terkenal, benar-benar mengejutkan dan mengkhawatirkan. Ini tidak hanya mengungkapkan kelalaian pihak proyek dalam hal keamanan smart contract, tetapi juga menyoroti bahwa dalam proses pengembangan proyek blockchain, bahkan prinsip keamanan yang paling dasar pun dapat diabaikan.

Peristiwa ini jelas telah membangunkan seluruh industri. Ini mengingatkan kita bahwa, terlepas dari skala proyek, kita harus mematuhi praktik terbaik keamanan secara ketat saat merancang dan mengimplementasikan smart contract. Pada saat yang sama, ini juga menekankan pentingnya melakukan audit keamanan yang menyeluruh dan profesional sebelum proyek diluncurkan.

Bagi pengguna, kasus ini sekali lagi membuktikan perlunya berhati-hati saat terlibat dalam proyek blockchain apa pun. Bahkan proyek yang didukung oleh merek terkenal pun dapat memiliki risiko keamanan yang mendasar.

Secara keseluruhan, peristiwa ini tidak hanya mengungkapkan masalah pada proyek tertentu, tetapi juga merupakan cerminan dari seluruh industri yang masih memiliki ruang untuk meningkatkan kesadaran dan praktik keamanan. Ini seharusnya mendorong pengembang, auditor, dan pihak proyek untuk lebih memperhatikan keamanan smart contract, guna memastikan keamanan aset pengguna dan perkembangan ekosistem yang sehat.

Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
  • Hadiah
  • 3
  • Bagikan
Komentar
0/400
ZKSherlockvip
· 22jam yang lalu
sebenarnya... validasi tanda tangan tingkat amatir. ini adalah kriptografi 101, orang-orang. di mana implementasi nonce?
Lihat AsliBalas0
MetaDreamervip
· 22jam yang lalu
Allowlist verifikasi belum ditangani dengan baik... sudah sampai di rumah nenek.
Lihat AsliBalas0
NotFinancialAdviservip
· 22jam yang lalu
Apa itu Allowlist, semuanya adalah daftar suckers.
Lihat AsliBalas0
  • Sematkan
Perdagangkan Kripto Di Mana Saja Kapan Saja
qrCode
Pindai untuk mengunduh aplikasi Gate
Komunitas
Bahasa Indonesia
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)