- Topik
57k Popularitas
34k Popularitas
10k Popularitas
4k Popularitas
4k Popularitas
29k Popularitas
16k Popularitas
22k Popularitas
13k Popularitas
3k Popularitas
- Sematkan
57k Popularitas
34k Popularitas
10k Popularitas
4k Popularitas
4k Popularitas
29k Popularitas
16k Popularitas
22k Popularitas
13k Popularitas
3k Popularitas
Proyek koleksi digital liga olahraga terkenal mengungkapkan celah kontrak besar
Baru-baru ini, sebuah liga olahraga terkenal meluncurkan proyek koleksi digital, tetapi secara tidak sengaja mengungkapkan celah kontrak yang serius. Peneliti keamanan menemukan bahwa smart contract proyek tersebut memiliki cacat besar, yang memungkinkan pengguna yang tidak berwenang mencetak koleksi tanpa biaya dan mendapatkan keuntungan dari situ.
Sumber dari kerentanan ini terletak pada ketidak sempurnaan mekanisme verifikasi tanda tangan pengguna yang ada dalam daftar putih. Desain kontrak tidak berhasil memastikan eksklusivitas dan penggunaan sekali saja dari tanda tangan daftar putih, yang memungkinkan penyerang untuk menggunakan kembali tanda tangan pengguna daftar putih lainnya untuk pencetakan koleksi.
Dari sudut pandang teknis, fungsi verify dalam kontrak memiliki kekurangan yang jelas dalam desainnya. Fungsi ini tidak memasukkan alamat pengirim transaksi ke dalam lingkup tanda tangan selama proses verifikasi, dan juga kurang memiliki mekanisme untuk mencegah penggunaan kembali tanda tangan. Hal-hal ini seharusnya merupakan pengetahuan dasar dalam pemrograman keamanan, namun diabaikan dalam proyek ini.
Lebih membingungkan lagi, celah keamanan yang begitu jelas muncul dalam sebuah proyek besar yang sangat diperhatikan. Ini tidak hanya mengungkapkan kelalaian pihak proyek dalam hal keamanan smart contract, tetapi juga memicu perhatian kembali di industri terhadap pentingnya audit keamanan proyek blockchain.
Peristiwa ini sekali lagi menekankan pentingnya mematuhi praktik terbaik keamanan dengan ketat dalam proses pengembangan proyek blockchain. Untuk proyek dengan skala apa pun, terutama proyek terkenal yang melibatkan banyak pengguna dan dana, melakukan audit keamanan yang menyeluruh dan verifikasi ganda adalah langkah yang tidak dapat diabaikan.
Peristiwa ini juga menjadi peringatan bagi seluruh industri, mengingatkan para pengembang dan pihak proyek untuk lebih memperhatikan keamanan smart contract. Dalam mengejar inovasi dan efisiensi, memastikan langkah-langkah keamanan dasar juga sangat penting. Di masa depan, kami berharap dapat melihat lebih banyak proyek yang dapat melakukan pemeriksaan keamanan yang lebih ketat sebelum diluncurkan, untuk menghindari terjadinya peristiwa serupa.