- Тема
63k Популярность
40k Популярность
11k Популярность
5k Популярность
30k Популярность
16k Популярность
23k Популярность
13k Популярность
3k Популярность
13k Популярность
- Закрепить
63k Популярность
40k Популярность
11k Популярность
5k Популярность
30k Популярность
16k Популярность
23k Популярность
13k Популярность
3k Популярность
13k Популярность
Известный проект цифровых коллекционных предметов спортивной лиги раскрывает серьезную уязвимость в контракте
В последнее время известная спортивная лига запустила проект цифровых коллекционных предметов, но неожиданно выявила серьезные уязвимости в контракте. Исследователи безопасности обнаружили, что смарт-контракты проекта имеют значительные дефекты, позволяющие неавторизованным пользователям без затрат минтить коллекционные предметы и извлекать из этого прибыль.
Корень этой уязвимости заключается в несовершенстве механизма проверки подписей пользователей белого списка. Дизайн смарт-контрактов не смог обеспечить эксклюзивность и разовое использование подписей белого списка, что позволило злоумышленникам повторно использовать подписи других пользователей белого списка для минтинга коллекционных предметов.
!
С технической точки зрения, в контракте есть явные недостатки в дизайне функции verify. Эта функция не включает адрес инициатора транзакции в область подписи во время верификации, а также не имеет механизма предотвращения повторного использования подписи. Это должно быть базовой безопасной программной практикой, но в этом проекте было проигнорировано.
Более того, столь очевидная уязвимость безопасности появилась в крупном проекте, который привлекает много внимания. Это не только выявило небрежность команды проекта в области безопасности смарт-контрактов, но и снова привлекло внимание отрасли к важности аудита безопасности блокчейн-проектов.
Это событие еще раз подчеркивает важность строгого соблюдения лучших практик безопасности в процессе разработки блокчейн-проектов. Для проектов любого масштаба, особенно для высокопрофильных проектов, связанных с большим числом пользователей и финансами, проведение комплексного аудита безопасности и многоуровенной верификации является необходимым этапом.
Это событие также прозвучало как сигнал тревоги для всей отрасли, напоминая разработчикам и проектным группам о необходимости более серьезного внимания к безопасности смарт-контрактов. При стремлении к инновациям и эффективности также важно обеспечить наличие основных мер безопасности. В будущем мы надеемся увидеть больше проектов, которые смогут пройти более строгую проверку безопасности перед запуском, чтобы избежать повторения подобных инцидентов.
!