- Тема
89k Популярність
43k Популярність
14k Популярність
4k Популярність
5k Популярність
29k Популярність
16k Популярність
23k Популярність
13k Популярність
3k Популярність
- Закріпити
89k Популярність
43k Популярність
14k Популярність
4k Популярність
5k Популярність
29k Популярність
16k Популярність
23k Популярність
13k Популярність
3k Популярність
Відомий проект цифрових колекцій спортивних ліг виявив значну вразливість у контракті
Нещодавно відомий спортивний альянс запустив проект цифрових колекцій, але несподівано виявив серйозні вразливості в контракті. Дослідники з безпеки виявили, що в смартконтрактах цього проекту є суттєві недоліки, які дозволяють неавторизованим користувачам безкоштовно мінтити колекційні предмети та отримувати з них прибуток.
Ця вразливість виникла через недосконалість механізму перевірки підписів користувачів з білого списку. Дизайн смартконтракту не забезпечив ексклюзивність та одноразове використання підписів білого списку, що дозволило зловмисникам повторно використовувати підписи інших користувачів з білого списку для мінтингів колекційних предметів.
!
З технічної точки зору, у контракті існує очевидна прогалина в дизайні функції verify. Ця функція під час верифікації не включає адресу ініціатора транзакції в діапазон підписів, а також їй бракує механізму для запобігання повторному використанню підписів. Це те, що мало б належати до основних знань безпеки програмування, але в цьому проекті було проігноровано.
Ще більше дивує те, що таке очевидне вразливість безпеки з'явилася в такому помітному великому проекті. Це не лише виявляє недбалість розробників проекту щодо безпеки смартконтрактів, але й знову привертає увагу галузі до важливості аудиту безпеки блокчейн-проектів.
Ця подія ще раз підкреслила важливість суворого дотримання найкращих практик безпеки під час розробки проектів на блокчейні. Для проектів будь-якого масштабу, особливо тих, що залучають велику кількість користувачів та фінансів, проведення комплексного аудиту безпеки та багаторазової верифікації є незамінними етапами.
Ця подія також сповістила про тривогу для всієї галузі, нагадуючи розробникам і проектним командам, що їм необхідно більше уваги приділяти безпеці смартконтрактів. Під час прагнення до інновацій та ефективності також важливо забезпечити належні базові заходи безпеки. У майбутньому ми очікуємо побачити більше проектів, які перед випуском зможуть пройти більш суворі перевірки безпеки, щоб уникнути повторення подібних подій.
!