This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
著名なスポーツリーグのデジタルコレクションプロジェクトに重大な契約の脆弱性が明らかになった
最近、有名なスポーツリーグがデジタルコレクションプロジェクトを立ち上げましたが、重大な契約の脆弱性が意図せず明らかになりました。セキュリティ研究者は、このプロジェクトのスマートコントラクトに重大な欠陥が存在し、無許可のユーザーがコストなしでコレクションをミンティングし、利益を得ることができることを発見しました。
この脆弱性の根源は、ホワイトリストユーザーの署名検証メカニズムの不備にあります。契約設計がホワイトリスト署名の排他性と一度きりの使用を確保できなかったため、攻撃者は他のホワイトリストユーザーの署名を繰り返し利用してコレクションをミンティングすることができました。
!
技術的な観点から分析すると、契約の中のverify関数には設計上明らかな欠陥があります。この関数は検証プロセスにおいて、取引の発起者のアドレスを署名の範囲に含めておらず、また署名の使い回しを防ぐメカニズムも欠けています。これらは基本的なセキュリティプログラミングの常識に属するはずですが、このプロジェクトでは無視されています。
さらに理解に苦しむのは、このような明らかなセキュリティの脆弱性が、注目を集めている大規模プロジェクトの中で現れたことです。これは、プロジェクトチームのスマートコントラクトのセキュリティに対する怠慢を露呈させるだけでなく、業界内でのブロックチェーンプロジェクトのセキュリティ監査の重要性への再関心を引き起こしました。
この出来事は、ブロックチェーンプロジェクトの開発過程において、安全のベストプラクティスを厳守する重要性を再強調しています。あらゆる規模のプロジェクト、特に多数のユーザーや資金を含む高い知名度のプロジェクトにとって、包括的なセキュリティ監査と多重検証は不可欠なステップです。
この出来事は業界全体に警鐘を鳴らし、開発者やプロジェクトチームにスマートコントラクトの安全性をより重視する必要があることを思い出させました。革新と効率を追求する一方で、基本的な安全対策が整っていることも同様に重要です。今後、私たちは、類似の事件が再発しないよう、より厳格な安全チェックを行うプロジェクトがリリース前に増えることを期待しています。
!