Нещодавно відомий спортивний альянс запустив свою серію цифрових колекцій, але цей крок виявив тривожну вразливість в безпеці. Після ретельного аналізу ми виявили, що смартконтракти, які використовуються для продажу цифрових колекцій, мають серйозні недоліки. Ця вразливість дозволила зловмисникам мінтити колекції безкоштовно і отримувати прибуток, продаючи ці незаконно отримані колекції.
!
Основна причина цієї загрози безпеці полягає в дефектному дизайні механізму перевірки підписів користувачів білого списку. Конкретно, контракт не зміг забезпечити ексклюзивність та одноразове використання підписів білого списку. Це означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для мінтингування колекцій, обходячи тим самим наявні обмеження безпеки.
Провівши глибокий аналіз коду смартконтракту, ми виявили, що функція verify має очевидні недоліки в дизайні. Ця функція не включає адресу ініціатора транзакції в процес перевірки підпису, а також їй не вистачає механізму, що запобігає повторному використанню підпису. Це мали б бути основні практики безпеки, але вони були проігноровані в цьому помітному проекті.
Цей рівень безпеки вразливостей, що виникає в таких гучних проектах, дійсно викликає подив і занепокоєння. Це не лише виявляє недбалості команди проекту в сфері безпеки смартконтрактів, але й підкреслює, що в процесі розробки блокчейн-проектів навіть найосновніші принципи безпеки можуть бути проігноровані.
Ця подія безумовно стала сигналом тривоги для всієї галузі. Вона нагадує нам, що незалежно від масштабу проєкту, при проєктуванні та реалізації смартконтрактів необхідно строго дотримуватись найкращих практик безпеки. Водночас це підкреслює важливість проведення всебічного та професійного аудиту безпеки перед запуском проєкту.
Для користувачів цей випадок ще раз підтверджує необхідність бути обережними при участі в будь-яких проектах на блокчейні. Навіть проекти з підтримкою відомих брендів можуть мати потенційні ризики безпеки.
В цілому, ця подія не тільки виявила проблеми конкретного проєкту, але й є відображенням того, що в усьому секторі є простір для покращення безпекової свідомості та практики. Вона повинна спонукати розробників, аудиторів та команди проєктів більше уваги приділяти безпеці смартконтрактів, щоб забезпечити безпеку активів користувачів і здоровий розвиток всієї екосистеми.
!
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
8 лайків
Нагородити
8
4
Поділіться
Прокоментувати
0/400
LuckyHashValue
· 4год тому
Знову прийшов до білого ** ока ставку...
Переглянути оригіналвідповісти на0
ZKSherlock
· 07-21 21:22
насправді... валідація підписів на аматорському рівні. це криптографія 101, люди. де реалізація nonce?
Переглянути оригіналвідповісти на0
MetaDreamer
· 07-21 21:19
Дозволений список верифікацію навіть не обробили... овочі до бабусі приїхали
Відомий проект цифрових колекцій спортивного альянсу виявив серйозні вразливості безпеки. Ризик мінтингу без витрат викликав занепокоєння в галузі.
Нещодавно відомий спортивний альянс запустив свою серію цифрових колекцій, але цей крок виявив тривожну вразливість в безпеці. Після ретельного аналізу ми виявили, що смартконтракти, які використовуються для продажу цифрових колекцій, мають серйозні недоліки. Ця вразливість дозволила зловмисникам мінтити колекції безкоштовно і отримувати прибуток, продаючи ці незаконно отримані колекції.
!
Основна причина цієї загрози безпеці полягає в дефектному дизайні механізму перевірки підписів користувачів білого списку. Конкретно, контракт не зміг забезпечити ексклюзивність та одноразове використання підписів білого списку. Це означає, що зловмисники можуть повторно використовувати підписи інших користувачів білого списку для мінтингування колекцій, обходячи тим самим наявні обмеження безпеки.
Провівши глибокий аналіз коду смартконтракту, ми виявили, що функція verify має очевидні недоліки в дизайні. Ця функція не включає адресу ініціатора транзакції в процес перевірки підпису, а також їй не вистачає механізму, що запобігає повторному використанню підпису. Це мали б бути основні практики безпеки, але вони були проігноровані в цьому помітному проекті.
Цей рівень безпеки вразливостей, що виникає в таких гучних проектах, дійсно викликає подив і занепокоєння. Це не лише виявляє недбалості команди проекту в сфері безпеки смартконтрактів, але й підкреслює, що в процесі розробки блокчейн-проектів навіть найосновніші принципи безпеки можуть бути проігноровані.
Ця подія безумовно стала сигналом тривоги для всієї галузі. Вона нагадує нам, що незалежно від масштабу проєкту, при проєктуванні та реалізації смартконтрактів необхідно строго дотримуватись найкращих практик безпеки. Водночас це підкреслює важливість проведення всебічного та професійного аудиту безпеки перед запуском проєкту.
Для користувачів цей випадок ще раз підтверджує необхідність бути обережними при участі в будь-яких проектах на блокчейні. Навіть проекти з підтримкою відомих брендів можуть мати потенційні ризики безпеки.
В цілому, ця подія не тільки виявила проблеми конкретного проєкту, але й є відображенням того, що в усьому секторі є простір для покращення безпекової свідомості та практики. Вона повинна спонукати розробників, аудиторів та команди проєктів більше уваги приділяти безпеці смартконтрактів, щоб забезпечити безпеку активів користувачів і здоровий розвиток всієї екосистеми.
!