Baru-baru ini, sebuah liga olahraga terkenal meluncurkan serangkaian koleksi digital, namun para profesional di industri menemukan bahwa kontrak penjualan koleksi tersebut memiliki risiko keamanan yang signifikan. Para ahli keamanan menunjukkan bahwa celah ini memungkinkan pihak yang tidak bertanggung jawab untuk mencetak koleksi tanpa membayar biaya apapun, dan mendapatkan keuntungan yang tidak semestinya melalui penjualan.
Sumber dari kerentanan ini terletak pada mekanisme verifikasi tanda tangan pengguna whitelist dalam kontrak yang memiliki cacat. Secara khusus, kontrak tidak menerapkan langkah-langkah yang diperlukan untuk memastikan keunikan dan eksklusivitas tanda tangan whitelist. Ini berarti penyerang dapat memanfaatkan tanda tangan pengguna whitelist lain untuk mencetak ulang koleksi.
Melalui analisis mendalam terhadap kode kontrak, para ahli menemukan bahwa fungsi verify memiliki cacat desain yang jelas. Fungsi ini tidak memasukkan alamat pengirim transaksi dalam proses verifikasi tanda tangan, dan juga kurang memiliki mekanisme untuk mencegah penggunaan ulang tanda tangan. Tindakan yang seharusnya menjadi praktik keamanan dasar ini ternyata diabaikan, membuat orang dalam industri merasa tidak percaya.
Para ahli menyatakan bahwa tingkat kerentanan keamanan seperti ini muncul di proyek yang begitu terkenal, benar-benar mengejutkan. Mereka menekankan bahwa langkah-langkah keamanan dasar ini seharusnya menjadi bagian yang tidak terpisahkan dari proses pengembangan proyek yang melibatkan aset digital.
Peristiwa ini sekali lagi menyoroti pentingnya audit keamanan di bidang blockchain dan koleksi digital. Industri menyerukan kepada semua pihak yang terlibat, termasuk tim pengembang, operator platform, dan investor, untuk meningkatkan kewaspadaan dan memperkuat perhatian terhadap keamanan kontrak pintar. Hanya dengan cara ini, kita dapat memastikan perkembangan sehat pasar aset digital dan melindungi hak-hak peserta.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Proyek NFT terkenal mengungkapkan kerentanan keamanan, terdapat cacat dalam verifikasi tanda tangan Allowlist.
Baru-baru ini, sebuah liga olahraga terkenal meluncurkan serangkaian koleksi digital, namun para profesional di industri menemukan bahwa kontrak penjualan koleksi tersebut memiliki risiko keamanan yang signifikan. Para ahli keamanan menunjukkan bahwa celah ini memungkinkan pihak yang tidak bertanggung jawab untuk mencetak koleksi tanpa membayar biaya apapun, dan mendapatkan keuntungan yang tidak semestinya melalui penjualan.
Sumber dari kerentanan ini terletak pada mekanisme verifikasi tanda tangan pengguna whitelist dalam kontrak yang memiliki cacat. Secara khusus, kontrak tidak menerapkan langkah-langkah yang diperlukan untuk memastikan keunikan dan eksklusivitas tanda tangan whitelist. Ini berarti penyerang dapat memanfaatkan tanda tangan pengguna whitelist lain untuk mencetak ulang koleksi.
Melalui analisis mendalam terhadap kode kontrak, para ahli menemukan bahwa fungsi verify memiliki cacat desain yang jelas. Fungsi ini tidak memasukkan alamat pengirim transaksi dalam proses verifikasi tanda tangan, dan juga kurang memiliki mekanisme untuk mencegah penggunaan ulang tanda tangan. Tindakan yang seharusnya menjadi praktik keamanan dasar ini ternyata diabaikan, membuat orang dalam industri merasa tidak percaya.
Para ahli menyatakan bahwa tingkat kerentanan keamanan seperti ini muncul di proyek yang begitu terkenal, benar-benar mengejutkan. Mereka menekankan bahwa langkah-langkah keamanan dasar ini seharusnya menjadi bagian yang tidak terpisahkan dari proses pengembangan proyek yang melibatkan aset digital.
Peristiwa ini sekali lagi menyoroti pentingnya audit keamanan di bidang blockchain dan koleksi digital. Industri menyerukan kepada semua pihak yang terlibat, termasuk tim pengembang, operator platform, dan investor, untuk meningkatkan kewaspadaan dan memperkuat perhatian terhadap keamanan kontrak pintar. Hanya dengan cara ini, kita dapat memastikan perkembangan sehat pasar aset digital dan melindungi hak-hak peserta.