Gần đây, một đợt phát hành tài sản số thể thao lớn đã thu hút sự chú ý rộng rãi trong ngành. Tuy nhiên, một số chuyên gia an ninh đã phát hiện ra rằng trong hợp đồng thông minh của dự án này có những lỗ hổng nghiêm trọng, có thể bị kẻ xấu lợi dụng để thực hiện việc đang đúc mà không tốn chi phí và kiếm lời.
Lỗ hổng này chủ yếu xuất phát từ thiết kế không đúng đắn của cơ chế xác thực chữ ký của người dùng trong danh sách trắng. Hợp đồng không đảm bảo tính chất độc quyền và sử dụng một lần của chữ ký trong danh sách trắng. Do đó, những kẻ tấn công tiềm năng có thể tái sử dụng chữ ký của các người dùng khác trong danh sách trắng để đang đúc các bộ sưu tập.
Từ mã hợp đồng công khai có thể thấy, hàm verify có những thiếu sót rõ ràng trong thiết kế. Đầu tiên, nó không đưa địa chỉ của người gửi giao dịch vào quá trình xác minh chữ ký. Thứ hai, thiếu cơ chế ngăn chặn việc sử dụng lại chữ ký. Những điều này lẽ ra phải là những thực hành bảo mật cơ bản trong phát triển hợp đồng thông minh, thuộc về kiến thức cơ bản về an toàn phần mềm.
Thật đáng ngạc nhiên khi một lỗ hổng bảo mật cơ bản như vậy lại xuất hiện trong một dự án lớn được chú ý nhiều đến vậy. Điều này không chỉ phơi bày sự lơ là của nhóm dự án trong việc kiểm toán an ninh hợp đồng, mà còn nhấn mạnh rằng toàn ngành vẫn còn một chặng đường dài để đi về việc tiêu chuẩn hóa phát triển hợp đồng thông minh và nâng cao nhận thức về an ninh.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng, bất kể quy mô và sức ảnh hưởng của dự án như thế nào, an toàn luôn là yếu tố hàng đầu cần xem xét trong lĩnh vực blockchain và tài sản số. Đối với các nhà phát triển, việc tuân thủ nghiêm ngặt các thực tiễn tốt nhất về an toàn, thực hiện kiểm toán mã nguồn toàn diện và kiểm tra lỗ hổng là những khâu không thể bỏ qua. Đối với người dùng, trước khi tham gia bất kỳ dự án tài sản số nào, cũng nên giữ cảnh giác với tính an toàn của nó và thực hiện các cuộc điều tra và đánh giá cần thiết.
Trong tương lai, khi ngành công nghiệp ngày càng trưởng thành, chúng tôi hy vọng sẽ thấy nhiều dự án, nhà phát triển và chuyên gia an ninh cùng nhau nỗ lực xây dựng các tiêu chuẩn phát triển và kiểm toán hợp đồng thông minh đầy đủ hơn, nhằm đảm bảo an toàn và phát triển bền vững cho hệ sinh thái tài sản kỹ thuật số.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
13 thích
Phần thưởng
13
7
Chia sẻ
Bình luận
0/400
TheMemefather
· 17giờ trước
chơi đùa với mọi người một lát rồi chạy, người dùng đã sớm nhìn thấu.
Xem bản gốcTrả lời0
DefiPlaybook
· 17giờ trước
Theo phân tích mẫu của nhiều dự án, vấn đề ký lại dễ dẫn đến tổn thất tài chính lên tới 65,8%.
Xem bản gốcTrả lời0
RugpullSurvivor
· 17giờ trước
Lại bị đen tối, những ngày tốt đẹp vẫn ở phía sau.
Xem bản gốcTrả lời0
MetaMisery
· 18giờ trước
Nhận thức an toàn này quá thấp rồi.
Xem bản gốcTrả lời0
ReverseFOMOguy
· 18giờ trước
Danh sách cho phép của chữ ký đều có thể gây ra lỗ hổng, bùn nhão không thể tự đứng dậy.
Xem bản gốcTrả lời0
ShibaOnTheRun
· 18giờ trước
Lại một sự cố chớp nhoáng đã được dự đoán phải không?
Xem bản gốcTrả lời0
Hash_Bandit
· 18giờ trước
giống như khai thác vào năm 2013... bảo mật tỷ lệ băm bằng không thật là buồn cười
Dự án sưu tầm số thể thao nổi tiếng phát hiện lỗ hổng nghiêm trọng trong hợp đồng thông minh, cảnh báo nhận thức về an toàn trong ngành.
Gần đây, một đợt phát hành tài sản số thể thao lớn đã thu hút sự chú ý rộng rãi trong ngành. Tuy nhiên, một số chuyên gia an ninh đã phát hiện ra rằng trong hợp đồng thông minh của dự án này có những lỗ hổng nghiêm trọng, có thể bị kẻ xấu lợi dụng để thực hiện việc đang đúc mà không tốn chi phí và kiếm lời.
Lỗ hổng này chủ yếu xuất phát từ thiết kế không đúng đắn của cơ chế xác thực chữ ký của người dùng trong danh sách trắng. Hợp đồng không đảm bảo tính chất độc quyền và sử dụng một lần của chữ ký trong danh sách trắng. Do đó, những kẻ tấn công tiềm năng có thể tái sử dụng chữ ký của các người dùng khác trong danh sách trắng để đang đúc các bộ sưu tập.
Từ mã hợp đồng công khai có thể thấy, hàm verify có những thiếu sót rõ ràng trong thiết kế. Đầu tiên, nó không đưa địa chỉ của người gửi giao dịch vào quá trình xác minh chữ ký. Thứ hai, thiếu cơ chế ngăn chặn việc sử dụng lại chữ ký. Những điều này lẽ ra phải là những thực hành bảo mật cơ bản trong phát triển hợp đồng thông minh, thuộc về kiến thức cơ bản về an toàn phần mềm.
Thật đáng ngạc nhiên khi một lỗ hổng bảo mật cơ bản như vậy lại xuất hiện trong một dự án lớn được chú ý nhiều đến vậy. Điều này không chỉ phơi bày sự lơ là của nhóm dự án trong việc kiểm toán an ninh hợp đồng, mà còn nhấn mạnh rằng toàn ngành vẫn còn một chặng đường dài để đi về việc tiêu chuẩn hóa phát triển hợp đồng thông minh và nâng cao nhận thức về an ninh.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng, bất kể quy mô và sức ảnh hưởng của dự án như thế nào, an toàn luôn là yếu tố hàng đầu cần xem xét trong lĩnh vực blockchain và tài sản số. Đối với các nhà phát triển, việc tuân thủ nghiêm ngặt các thực tiễn tốt nhất về an toàn, thực hiện kiểm toán mã nguồn toàn diện và kiểm tra lỗ hổng là những khâu không thể bỏ qua. Đối với người dùng, trước khi tham gia bất kỳ dự án tài sản số nào, cũng nên giữ cảnh giác với tính an toàn của nó và thực hiện các cuộc điều tra và đánh giá cần thiết.
Trong tương lai, khi ngành công nghiệp ngày càng trưởng thành, chúng tôi hy vọng sẽ thấy nhiều dự án, nhà phát triển và chuyên gia an ninh cùng nhau nỗ lực xây dựng các tiêu chuẩn phát triển và kiểm toán hợp đồng thông minh đầy đủ hơn, nhằm đảm bảo an toàn và phát triển bền vững cho hệ sinh thái tài sản kỹ thuật số.