Baru-baru ini, penerbitan koleksi digital olahraga yang signifikan telah menarik perhatian luas di industri. Namun, beberapa ahli keamanan menemukan bahwa terdapat celah serius dalam smart contract proyek tersebut, yang mungkin dimanfaatkan oleh pihak yang tidak bertanggung jawab untuk melakukan pencetakan tanpa biaya dan meraih keuntungan.
Vulnerabilitas ini terutama berasal dari desain yang tidak tepat pada mekanisme verifikasi tanda tangan pengguna daftar putih. Kontrak gagal memastikan eksklusivitas dan penggunaan satu kali tanda tangan daftar putih. Oleh karena itu, penyerang potensial dapat menggunakan kembali tanda tangan pengguna daftar putih lain untuk pencetakan koleksi.
Dari kode kontrak yang publik, terlihat bahwa fungsi verify memiliki cacat desain yang jelas. Pertama, ia tidak memasukkan alamat pengirim transaksi dalam proses verifikasi tanda tangan. Kedua, kurangnya mekanisme untuk mencegah penggunaan ulang tanda tangan. Ini seharusnya menjadi praktik keamanan dasar dalam pengembangan smart contract, termasuk pengetahuan dasar keamanan perangkat lunak.
Menariknya, celah keamanan yang begitu mendasar muncul dalam sebuah proyek besar yang sangat diperhatikan. Ini tidak hanya mengungkapkan kelalaian pihak proyek dalam audit keamanan kontrak, tetapi juga menyoroti bahwa seluruh industri masih memiliki jalan yang panjang dalam standarisasi pengembangan smart contract dan kesadaran keamanan.
Peristiwa ini mengingatkan kita sekali lagi bahwa, terlepas dari ukuran dan dampak proyek, keamanan selalu menjadi faktor utama yang perlu dipertimbangkan di bidang blockchain dan koleksi digital. Bagi pengembang, sangat penting untuk mengikuti praktik keamanan terbaik, melakukan audit kode yang menyeluruh, dan pengujian kerentanan yang tidak boleh diabaikan. Bagi pengguna, sebelum berpartisipasi dalam proyek koleksi digital apa pun, mereka juga harus tetap waspada terhadap keamanan dan melakukan penyelidikan dan penilaian yang diperlukan.
Ke depan, seiring dengan kematangan industri yang terus berkembang, kami berharap dapat melihat lebih banyak pihak proyek, pengembang, dan ahli keamanan bekerja sama untuk membangun standar pengembangan dan audit smart contract yang lebih baik, guna memastikan keamanan dan keberlanjutan ekosistem koleksi digital.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
13 Suka
Hadiah
13
7
Bagikan
Komentar
0/400
TheMemefather
· 5jam yang lalu
play people for suckers dan pergi, pengguna sudah melihatnya dengan jelas
Lihat AsliBalas0
DefiPlaybook
· 5jam yang lalu
Berdasarkan analisis sampel banyak proyek, masalah perpanjangan kontrak dapat menyebabkan kerugian dana hingga 65,8%.
Lihat AsliBalas0
RugpullSurvivor
· 5jam yang lalu
Sangat buruk, hari baik masih di depan.
Lihat AsliBalas0
MetaMisery
· 5jam yang lalu
Kesadaran keamanan ini terlalu rendah.
Lihat AsliBalas0
ReverseFOMOguy
· 5jam yang lalu
Allowlist yang ditandatangani semua dapat menimbulkan celah, lumpur tidak dapat didorong ke dinding.
Lihat AsliBalas0
ShibaOnTheRun
· 5jam yang lalu
Sudah ada satu lagi yang dijadwalkan untuk flash frach.
Lihat AsliBalas0
Hash_Bandit
· 6jam yang lalu
sama seperti penambangan di 2013... keamanan hashrate nol smh
Proyek koleksi digital olahraga terkenal mengungkapkan celah serius dalam smart contract, memperingatkan kesadaran keamanan industri.
Baru-baru ini, penerbitan koleksi digital olahraga yang signifikan telah menarik perhatian luas di industri. Namun, beberapa ahli keamanan menemukan bahwa terdapat celah serius dalam smart contract proyek tersebut, yang mungkin dimanfaatkan oleh pihak yang tidak bertanggung jawab untuk melakukan pencetakan tanpa biaya dan meraih keuntungan.
Vulnerabilitas ini terutama berasal dari desain yang tidak tepat pada mekanisme verifikasi tanda tangan pengguna daftar putih. Kontrak gagal memastikan eksklusivitas dan penggunaan satu kali tanda tangan daftar putih. Oleh karena itu, penyerang potensial dapat menggunakan kembali tanda tangan pengguna daftar putih lain untuk pencetakan koleksi.
Dari kode kontrak yang publik, terlihat bahwa fungsi verify memiliki cacat desain yang jelas. Pertama, ia tidak memasukkan alamat pengirim transaksi dalam proses verifikasi tanda tangan. Kedua, kurangnya mekanisme untuk mencegah penggunaan ulang tanda tangan. Ini seharusnya menjadi praktik keamanan dasar dalam pengembangan smart contract, termasuk pengetahuan dasar keamanan perangkat lunak.
Menariknya, celah keamanan yang begitu mendasar muncul dalam sebuah proyek besar yang sangat diperhatikan. Ini tidak hanya mengungkapkan kelalaian pihak proyek dalam audit keamanan kontrak, tetapi juga menyoroti bahwa seluruh industri masih memiliki jalan yang panjang dalam standarisasi pengembangan smart contract dan kesadaran keamanan.
Peristiwa ini mengingatkan kita sekali lagi bahwa, terlepas dari ukuran dan dampak proyek, keamanan selalu menjadi faktor utama yang perlu dipertimbangkan di bidang blockchain dan koleksi digital. Bagi pengembang, sangat penting untuk mengikuti praktik keamanan terbaik, melakukan audit kode yang menyeluruh, dan pengujian kerentanan yang tidak boleh diabaikan. Bagi pengguna, sebelum berpartisipasi dalam proyek koleksi digital apa pun, mereka juga harus tetap waspada terhadap keamanan dan melakukan penyelidikan dan penilaian yang diperlukan.
Ke depan, seiring dengan kematangan industri yang terus berkembang, kami berharap dapat melihat lebih banyak pihak proyek, pengembang, dan ahli keamanan bekerja sama untuk membangun standar pengembangan dan audit smart contract yang lebih baik, guna memastikan keamanan dan keberlanjutan ekosistem koleksi digital.