Dự án bộ sưu tập kỹ thuật số của liên đoàn thể thao nổi tiếng lộ ra lỗ hổng bảo mật nghiêm trọng, rủi ro đang đúc không tốn phí đã gây ra sự cảnh giác trong ngành.
Gần đây, một liên đoàn thể thao nổi tiếng đã ra mắt bộ sưu tập kỹ thuật số của mình, nhưng động thái này đã phơi bày một lỗ hổng bảo mật đáng lo ngại. Sau khi phân tích kỹ lưỡng, chúng tôi phát hiện ra rằng hợp đồng thông minh được sử dụng để bán các bộ sưu tập kỹ thuật số của dự án có những thiếu sót nghiêm trọng. Lỗ hổng này cho phép các hành vi xấu có thể đang đúc các bộ sưu tập với chi phí bằng không, và kiếm lời từ việc bán những bộ sưu tập có được một cách trái phép.
Nguyên nhân cơ bản gây ra nguy cơ an ninh này là do thiếu sót trong thiết kế cơ chế xác thực chữ ký của người dùng trong danh sách trắng. Cụ thể, hợp đồng không đảm bảo tính đặc thù và tính duy nhất trong việc sử dụng chữ ký của danh sách trắng. Điều này có nghĩa là kẻ tấn công có thể tái sử dụng chữ ký của các người dùng trong danh sách trắng khác để đang đúc các bộ sưu tập, từ đó vượt qua các hạn chế an ninh ban đầu.
Thông qua việc xem xét sâu sắc mã hợp đồng, chúng tôi phát hiện ra rằng hàm verify có những thiếu sót rõ ràng trong thiết kế. Hàm này không đưa địa chỉ của người thực hiện giao dịch vào quy trình xác minh chữ ký, đồng thời cũng thiếu cơ chế ngăn chặn việc sử dụng lại chữ ký. Những điều này lẽ ra phải là những thực hành an toàn cơ bản, nhưng đã bị bỏ qua trong dự án được chú ý này.
Lỗ hổng bảo mật ở mức độ này xuất hiện trong một dự án nổi bật như vậy thực sự khiến người ta cảm thấy bất ngờ và lo ngại. Nó không chỉ phơi bày sự sơ suất của phía dự án trong việc bảo mật hợp đồng thông minh, mà còn làm nổi bật rằng trong quá trình phát triển dự án blockchain, ngay cả những nguyên tắc bảo mật cơ bản nhất cũng có thể bị bỏ qua.
Sự kiện này chắc chắn đã gióng lên hồi chuông cảnh tỉnh cho toàn ngành. Nó nhắc nhở chúng ta rằng, bất kể quy mô dự án là gì, khi thiết kế và triển khai hợp đồng thông minh, chúng ta phải tuân thủ nghiêm ngặt các thực tiễn tốt nhất về an ninh. Đồng thời, điều này cũng nhấn mạnh tầm quan trọng của việc tiến hành kiểm toán an ninh toàn diện và chuyên nghiệp trước khi dự án được ra mắt.
Đối với người dùng, trường hợp này lại chứng minh sự cần thiết phải giữ cảnh giác khi tham gia bất kỳ dự án blockchain nào. Ngay cả những dự án được những thương hiệu nổi tiếng bảo trợ cũng có thể có những rủi ro an ninh tiềm ẩn.
Nói chung, sự kiện này không chỉ tiết lộ những vấn đề của các dự án cụ thể, mà còn là hình ảnh thu nhỏ cho thấy toàn ngành vẫn còn khoảng trống để nâng cao nhận thức và thực hành về an toàn. Nó nên khuyến khích các nhà phát triển, kiểm toán viên và các bên dự án chú trọng hơn đến độ an toàn của hợp đồng thông minh, để đảm bảo an toàn cho tài sản của người dùng và sự phát triển khỏe mạnh của toàn bộ hệ sinh thái.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
6
Chia sẻ
Bình luận
0/400
SchrodingerAirdrop
· 07-24 09:35
Không thể đúc coin, trước tiên hãy lấy chút từ kỹ sư đi.
Xem bản gốcTrả lời0
Whale_Whisperer
· 07-23 20:56
Lại là danh sách cho phép không được thiết kế tốt, rau
Xem bản gốcTrả lời0
LuckyHashValue
· 07-23 08:52
Lại đến hồ **mắt trắng rồi...
Xem bản gốcTrả lời0
ZKSherlock
· 07-21 21:22
thực ra... xác thực chữ ký ở mức độ nghiệp dư. đây là mật mã học 101, mọi người. đâu là phần triển khai nonce?
Xem bản gốcTrả lời0
MetaDreamer
· 07-21 21:19
Danh sách cho phép xác thực vẫn chưa được xử lý tốt... kém đến nhà bà ngoại rồi.
Dự án bộ sưu tập kỹ thuật số của liên đoàn thể thao nổi tiếng lộ ra lỗ hổng bảo mật nghiêm trọng, rủi ro đang đúc không tốn phí đã gây ra sự cảnh giác trong ngành.
Gần đây, một liên đoàn thể thao nổi tiếng đã ra mắt bộ sưu tập kỹ thuật số của mình, nhưng động thái này đã phơi bày một lỗ hổng bảo mật đáng lo ngại. Sau khi phân tích kỹ lưỡng, chúng tôi phát hiện ra rằng hợp đồng thông minh được sử dụng để bán các bộ sưu tập kỹ thuật số của dự án có những thiếu sót nghiêm trọng. Lỗ hổng này cho phép các hành vi xấu có thể đang đúc các bộ sưu tập với chi phí bằng không, và kiếm lời từ việc bán những bộ sưu tập có được một cách trái phép.
Nguyên nhân cơ bản gây ra nguy cơ an ninh này là do thiếu sót trong thiết kế cơ chế xác thực chữ ký của người dùng trong danh sách trắng. Cụ thể, hợp đồng không đảm bảo tính đặc thù và tính duy nhất trong việc sử dụng chữ ký của danh sách trắng. Điều này có nghĩa là kẻ tấn công có thể tái sử dụng chữ ký của các người dùng trong danh sách trắng khác để đang đúc các bộ sưu tập, từ đó vượt qua các hạn chế an ninh ban đầu.
Thông qua việc xem xét sâu sắc mã hợp đồng, chúng tôi phát hiện ra rằng hàm verify có những thiếu sót rõ ràng trong thiết kế. Hàm này không đưa địa chỉ của người thực hiện giao dịch vào quy trình xác minh chữ ký, đồng thời cũng thiếu cơ chế ngăn chặn việc sử dụng lại chữ ký. Những điều này lẽ ra phải là những thực hành an toàn cơ bản, nhưng đã bị bỏ qua trong dự án được chú ý này.
Lỗ hổng bảo mật ở mức độ này xuất hiện trong một dự án nổi bật như vậy thực sự khiến người ta cảm thấy bất ngờ và lo ngại. Nó không chỉ phơi bày sự sơ suất của phía dự án trong việc bảo mật hợp đồng thông minh, mà còn làm nổi bật rằng trong quá trình phát triển dự án blockchain, ngay cả những nguyên tắc bảo mật cơ bản nhất cũng có thể bị bỏ qua.
Sự kiện này chắc chắn đã gióng lên hồi chuông cảnh tỉnh cho toàn ngành. Nó nhắc nhở chúng ta rằng, bất kể quy mô dự án là gì, khi thiết kế và triển khai hợp đồng thông minh, chúng ta phải tuân thủ nghiêm ngặt các thực tiễn tốt nhất về an ninh. Đồng thời, điều này cũng nhấn mạnh tầm quan trọng của việc tiến hành kiểm toán an ninh toàn diện và chuyên nghiệp trước khi dự án được ra mắt.
Đối với người dùng, trường hợp này lại chứng minh sự cần thiết phải giữ cảnh giác khi tham gia bất kỳ dự án blockchain nào. Ngay cả những dự án được những thương hiệu nổi tiếng bảo trợ cũng có thể có những rủi ro an ninh tiềm ẩn.
Nói chung, sự kiện này không chỉ tiết lộ những vấn đề của các dự án cụ thể, mà còn là hình ảnh thu nhỏ cho thấy toàn ngành vẫn còn khoảng trống để nâng cao nhận thức và thực hành về an toàn. Nó nên khuyến khích các nhà phát triển, kiểm toán viên và các bên dự án chú trọng hơn đến độ an toàn của hợp đồng thông minh, để đảm bảo an toàn cho tài sản của người dùng và sự phát triển khỏe mạnh của toàn bộ hệ sinh thái.