- Chủ đề
79k Phổ biến
32k Phổ biến
10k Phổ biến
4k Phổ biến
4k Phổ biến
30k Phổ biến
16k Phổ biến
23k Phổ biến
12k Phổ biến
2k Phổ biến
- Ghim
79k Phổ biến
32k Phổ biến
10k Phổ biến
4k Phổ biến
4k Phổ biến
30k Phổ biến
16k Phổ biến
23k Phổ biến
12k Phổ biến
2k Phổ biến
Dự án sưu tập kỹ thuật số của liên minh thể thao nổi tiếng bị lộ lỗ hổng hợp đồng nghiêm trọng
Gần đây, một liên đoàn thể thao nổi tiếng đã ra mắt một dự án sưu tập kỹ thuật số, nhưng lại vô tình lộ ra một lỗ hổng hợp đồng nghiêm trọng. Các nhà nghiên cứu an ninh phát hiện ra rằng hợp đồng thông minh của dự án có những thiếu sót lớn, cho phép người dùng không được phép đúc sưu tập mà không tốn chi phí và thu lợi từ đó.
Nguồn gốc của lỗ hổng này nằm ở cơ chế xác thực chữ ký của người dùng trong danh sách trắng chưa hoàn thiện. Thiết kế hợp đồng không đảm bảo tính độc quyền và tính một lần của chữ ký trong danh sách trắng, dẫn đến việc kẻ tấn công có thể tái sử dụng chữ ký của các người dùng khác trong danh sách trắng để đang đúc bộ sưu tập.
Từ góc độ kỹ thuật mà phân tích, hàm verify trong hợp đồng có một lỗ hổng rõ ràng trong thiết kế. Hàm này trong quá trình xác minh không đưa địa chỉ của người khởi xướng giao dịch vào phạm vi chữ ký, đồng thời cũng thiếu cơ chế ngăn chặn việc sử dụng lại chữ ký. Những điều này lẽ ra nên thuộc về kiến thức lập trình an toàn cơ bản, nhưng đã bị bỏ qua trong dự án này.
Điều đáng ngạc nhiên hơn nữa là lỗ hổng bảo mật rõ ràng như vậy lại xuất hiện trong một dự án lớn được chú ý. Điều này không chỉ phơi bày sự bất cẩn của nhóm dự án trong vấn đề an toàn hợp đồng thông minh mà còn gây ra sự quan tâm trở lại của ngành đối với tầm quan trọng của việc kiểm toán an toàn dự án blockchain.
Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của việc tuân thủ nghiêm ngặt các thực tiễn bảo mật tốt nhất trong quá trình phát triển dự án blockchain. Đối với bất kỳ quy mô dự án nào, đặc biệt là các dự án nổi tiếng liên quan đến số lượng lớn người dùng và tài chính, việc thực hiện kiểm toán bảo mật toàn diện và xác thực đa lớp là những bước không thể thiếu.
Sự kiện này cũng đã gióng lên một hồi chuông cảnh báo cho toàn ngành, nhắc nhở các nhà phát triển và các bên dự án cần chú trọng hơn đến tính an toàn của hợp đồng thông minh. Trong khi theo đuổi đổi mới và hiệu quả, việc đảm bảo các biện pháp an toàn cơ bản được thực hiện cũng quan trọng không kém. Trong tương lai, chúng tôi hy vọng sẽ thấy nhiều dự án có thể thực hiện các kiểm tra an toàn nghiêm ngặt hơn trước khi phát hành, để tránh tái diễn các sự kiện tương tự.