Belakangan ini, sebuah koleksi digital yang diluncurkan oleh liga olahraga terkenal menarik perhatian para ahli keamanan. Setelah melakukan pemeriksaan terhadap kontrak penjualannya, para profesional menemukan sebuah celah keamanan yang serius. Celah ini memungkinkan individu yang ahli dalam teknologi untuk menciptakan koleksi tanpa harus membayar biaya apapun dan mendapatkan keuntungan dari situ.
Akar masalah terletak pada mekanisme verifikasi tanda tangan pengguna whitelist dalam kontrak yang memiliki cacat. Secara khusus, kontrak gagal memastikan eksklusivitas dan penggunaan satu kali dari tanda tangan whitelist. Ini berarti bahwa penyerang yang berpotensi dapat menggunakan kembali tanda tangan pengguna whitelist lainnya untuk mencetak koleksi.
Dari sudut pandang teknis, desain fungsi verify memiliki kekurangan yang jelas, tidak memasukkan alamat pengirim dalam proses verifikasi tanda tangan. Yang lebih penting, kontrak juga tidak menetapkan mekanisme untuk memastikan bahwa setiap tanda tangan hanya dapat digunakan sekali. Ini seharusnya menjadi langkah dasar keamanan perangkat lunak, tetapi diabaikan dalam proyek yang mendapat perhatian besar ini.
Para ahli keamanan terkejut dan berpendapat bahwa praktik keamanan dasar semacam ini seharusnya menjadi bagian yang tak terpisahkan dari proses pengembangan proyek blockchain mana pun. Mereka menekankan bahwa bahkan proyek yang sangat terkenal pun tidak boleh mengabaikan langkah audit keamanan yang paling mendasar.
Peristiwa ini sekali lagi menyoroti pentingnya keamanan yang tidak dapat diabaikan di bidang blockchain dan aset digital. Bagi para pengembang dan investor yang terlibat dalam proyek semacam itu, meningkatkan kesadaran keamanan dan melakukan audit keamanan yang menyeluruh akan menjadi salah satu faktor kunci keberhasilan proyek di masa depan.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
7 Suka
Hadiah
7
7
Bagikan
Komentar
0/400
BridgeJumper
· 12jam yang lalu
Main-main saja langsung diluncurkan?
Lihat AsliBalas0
SatoshiLegend
· 12jam yang lalu
Dari sudut pandang kode sumber, sejarah selalu berulang.
Lihat AsliBalas0
DaoGovernanceOfficer
· 12jam yang lalu
*sigh* lagi-lagi protokol yang melewatkan langkah-langkah keamanan dasar... dapat diprediksi sejujurnya
Lihat AsliBalas0
MissingSats
· 12jam yang lalu
Ini adalah serangan replay pada allowlist, keamanan masih terlalu buruk.
Lihat AsliBalas0
ClassicDumpster
· 13jam yang lalu
Bug ini benar-benar harum To da moon
Lihat AsliBalas0
DaoDeveloper
· 13jam yang lalu
smh... pemeriksaan reentrancy dasar seharusnya menangkap ini
Lihat AsliBalas0
ApeWithAPlan
· 13jam yang lalu
Kelemahan besar dalam kontrak ini, bagaimana audit kepatuhan bisa lolos?
Kontrak koleksi digital liga olahraga terkenal memiliki kerentanan serius, Hacker dapat mencetak secara gratis untuk mendapatkan keuntungan.
Belakangan ini, sebuah koleksi digital yang diluncurkan oleh liga olahraga terkenal menarik perhatian para ahli keamanan. Setelah melakukan pemeriksaan terhadap kontrak penjualannya, para profesional menemukan sebuah celah keamanan yang serius. Celah ini memungkinkan individu yang ahli dalam teknologi untuk menciptakan koleksi tanpa harus membayar biaya apapun dan mendapatkan keuntungan dari situ.
Akar masalah terletak pada mekanisme verifikasi tanda tangan pengguna whitelist dalam kontrak yang memiliki cacat. Secara khusus, kontrak gagal memastikan eksklusivitas dan penggunaan satu kali dari tanda tangan whitelist. Ini berarti bahwa penyerang yang berpotensi dapat menggunakan kembali tanda tangan pengguna whitelist lainnya untuk mencetak koleksi.
Dari sudut pandang teknis, desain fungsi verify memiliki kekurangan yang jelas, tidak memasukkan alamat pengirim dalam proses verifikasi tanda tangan. Yang lebih penting, kontrak juga tidak menetapkan mekanisme untuk memastikan bahwa setiap tanda tangan hanya dapat digunakan sekali. Ini seharusnya menjadi langkah dasar keamanan perangkat lunak, tetapi diabaikan dalam proyek yang mendapat perhatian besar ini.
Para ahli keamanan terkejut dan berpendapat bahwa praktik keamanan dasar semacam ini seharusnya menjadi bagian yang tak terpisahkan dari proses pengembangan proyek blockchain mana pun. Mereka menekankan bahwa bahkan proyek yang sangat terkenal pun tidak boleh mengabaikan langkah audit keamanan yang paling mendasar.
Peristiwa ini sekali lagi menyoroti pentingnya keamanan yang tidak dapat diabaikan di bidang blockchain dan aset digital. Bagi para pengembang dan investor yang terlibat dalam proyek semacam itu, meningkatkan kesadaran keamanan dan melakukan audit keamanan yang menyeluruh akan menjadi salah satu faktor kunci keberhasilan proyek di masa depan.