مشروع مقتنيات رقمية لرابطة رياضية معروفة يكشف عن ثغرة خطيرة في العقد

مؤخراً، أطلق اتحاد رياضي مشهور مشروعاً للسلع الرقمية، لكنه كشف عن ثغرات خطيرة في العقود. اكتشف الباحثون في الأمن أن العقود الذكية للمشروع تحتوي على عيوب كبيرة، مما يسمح للمستخدمين غير المصرح لهم بالسك السلع الرقمية دون أي تكلفة وجني الأرباح منها.

جذر هذه الثغرة يكمن في عدم كفاية آلية التحقق من توقيع المستخدمين في القائمة البيضاء. تصميم العقد لم يضمن خصوصية توقيع القائمة البيضاء واستخدامه لمرة واحدة، مما أدى إلى إمكانية استغلال المهاجمين لتوقيع مستخدمين آخرين في القائمة البيضاء للسكّ العناصر القابلة للتحصيل.

!

من الناحية الفنية، يحتوي دالة verify في العقد على ثغرات واضحة في التصميم. لم يتم تضمين عنوان مُطلق المعاملة في نطاق التوقيع خلال عملية التحقق، كما أن هناك نقصًا في آلية لمنع إعادة استخدام التوقيع. هذه الأمور يجب أن تُعتبر من بديهيات برمجة الأمان، ولكن تم تجاهلها في هذا المشروع.

الأكثر إرباكًا هو أن ثغرة الأمان الواضحة هذه ظهرت في مشروع كبير يحظى باهتمام كبير. هذا لا يكشف فقط عن إهمال فريق المشروع في مجال أمان العقود الذكية، بل أثار أيضًا اهتمام الصناعة مرة أخرى بأهمية تدقيق أمان مشاريع البلوكشين.

تؤكد هذه الحادثة مرة أخرى على أهمية الالتزام الصارم بأفضل ممارسات الأمان خلال عملية تطوير مشاريع البلوكشين. بالنسبة لأي مشروع بغض النظر عن حجمه، وخاصة المشاريع ذات الشهرة العالية التي تشمل عددًا كبيرًا من المستخدمين والأموال، فإن إجراء تدقيق أمني شامل والتحقق المتعدد يعدان خطوات لا غنى عنها.

هذا الحدث كان بمثابة جرس إنذار للصناعة بأكملها، يذكّر المطورين وأصحاب المشاريع بضرورة إيلاء المزيد من الاهتمام لأمان العقود الذكية. أثناء السعي للابتكار والكفاءة، من المهم أيضًا ضمان وجود تدابير الأمان الأساسية. في المستقبل، نتطلع إلى رؤية المزيد من المشاريع التي يمكن أن تخضع لفحوصات أمان أكثر صرامة قبل الإطلاق لتجنب حدوث مثل هذه الأحداث مرة أخرى.

!