Baru-baru ini, sebuah liga olahraga terkenal meluncurkan serangkaian koleksi digital yang menarik perhatian luas di pasar. Namun, dalam proyek yang sangat diperhatikan ini, ditemukan adanya celah keamanan yang serius. Celah ini memungkinkan beberapa ahli teknologi untuk menciptakan koleksi digital ini tanpa biaya dan meraih keuntungan dari situ.
Sumber dari kerentanan keamanan ini terletak pada adanya cacat dalam mekanisme verifikasi pengguna tertentu. Secara spesifik, sistem tidak secara efektif memastikan bahwa tanda tangan verifikasi hanya dapat digunakan oleh pengguna yang ditentukan, dan setiap tanda tangan hanya dapat digunakan sekali. Ini mengakibatkan situasi berbahaya: ahli teknologi dapat menggunakan kembali tanda tangan pengguna sah lainnya untuk menciptakan koleksi digital.
Dari sudut pandang teknis, masalah terletak pada desain fungsi verifikasi. Fungsi ini, saat melakukan verifikasi tanda tangan, tidak memasukkan alamat pengirim transaksi ke dalam konten tanda tangan. Lebih penting lagi, sistem juga tidak mengatur mekanisme untuk memastikan bahwa setiap tanda tangan hanya dapat digunakan sekali. Ini seharusnya menjadi langkah keamanan paling dasar dalam pengembangan perangkat lunak, tetapi diabaikan dalam proyek ini.
Untuk proyek dengan reputasi tinggi seperti ini, munculnya kerentanan keamanan yang begitu mendasar memang mengejutkan. Ini tidak hanya mengekspos kelalaian pihak proyek dalam manajemen keamanan, tetapi juga menyoroti bahwa dalam bidang blockchain dan aset digital, bahkan lembaga besar pun dapat mengalami kesalahan dalam praktik keamanan dasar.
Peristiwa ini sekali lagi mengingatkan kita bahwa audit keamanan yang menyeluruh dan proses pengujian yang ketat adalah hal yang tak terpisahkan dalam pengembangan dan penerapan kontrak pintar. Pada saat yang sama, ini juga menekankan pentingnya pembelajaran berkelanjutan dan pembaruan pengetahuan keamanan di bidang teknologi blockchain yang berkembang pesat.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
15 Suka
Hadiah
15
8
Posting ulang
Bagikan
Komentar
0/400
FarmHopper
· 23jam yang lalu
Ini bukan hal baru.
Lihat AsliBalas0
ThatsNotARugPull
· 08-14 22:14
Tim pengujian mencakup sayur
Lihat AsliBalas0
degenonymous
· 08-14 03:42
Ah, ditemukan celah baru lagi.
Lihat AsliBalas0
AirdropBuffet
· 08-12 02:32
Kontrak teknologi yang tidak ditulis dengan baik sama saja dengan memberikan uang secara percuma.
Lihat AsliBalas0
DataBartender
· 08-12 02:30
Apa kamu bahkan tidak bisa mengumpulkan biaya perlindungan?
Lihat AsliBalas0
GweiWatcher
· 08-12 02:24
Bug dasar ini saja tidak bisa diatasi? Mengeluarkan keringat.jpg
Lihat AsliBalas0
PriceOracleFairy
· 08-12 02:18
lmao satu lagi eksploitasi replay signature klasik... n00bs tidak pernah belajar, kan?
Lihat AsliBalas0
GateUser-a606bf0c
· 08-12 02:15
Tidak ada tanda tangan yang diverifikasi, terlalu keterlaluan.
Proyek koleksi digital liga olahraga sekarang memiliki celah keamanan besar. Kerentanan teknis menyebabkan kemungkinan pencetakan gratis.
Baru-baru ini, sebuah liga olahraga terkenal meluncurkan serangkaian koleksi digital yang menarik perhatian luas di pasar. Namun, dalam proyek yang sangat diperhatikan ini, ditemukan adanya celah keamanan yang serius. Celah ini memungkinkan beberapa ahli teknologi untuk menciptakan koleksi digital ini tanpa biaya dan meraih keuntungan dari situ.
Sumber dari kerentanan keamanan ini terletak pada adanya cacat dalam mekanisme verifikasi pengguna tertentu. Secara spesifik, sistem tidak secara efektif memastikan bahwa tanda tangan verifikasi hanya dapat digunakan oleh pengguna yang ditentukan, dan setiap tanda tangan hanya dapat digunakan sekali. Ini mengakibatkan situasi berbahaya: ahli teknologi dapat menggunakan kembali tanda tangan pengguna sah lainnya untuk menciptakan koleksi digital.
Dari sudut pandang teknis, masalah terletak pada desain fungsi verifikasi. Fungsi ini, saat melakukan verifikasi tanda tangan, tidak memasukkan alamat pengirim transaksi ke dalam konten tanda tangan. Lebih penting lagi, sistem juga tidak mengatur mekanisme untuk memastikan bahwa setiap tanda tangan hanya dapat digunakan sekali. Ini seharusnya menjadi langkah keamanan paling dasar dalam pengembangan perangkat lunak, tetapi diabaikan dalam proyek ini.
Untuk proyek dengan reputasi tinggi seperti ini, munculnya kerentanan keamanan yang begitu mendasar memang mengejutkan. Ini tidak hanya mengekspos kelalaian pihak proyek dalam manajemen keamanan, tetapi juga menyoroti bahwa dalam bidang blockchain dan aset digital, bahkan lembaga besar pun dapat mengalami kesalahan dalam praktik keamanan dasar.
Peristiwa ini sekali lagi mengingatkan kita bahwa audit keamanan yang menyeluruh dan proses pengujian yang ketat adalah hal yang tak terpisahkan dalam pengembangan dan penerapan kontrak pintar. Pada saat yang sama, ini juga menekankan pentingnya pembelajaran berkelanjutan dan pembaruan pengetahuan keamanan di bidang teknologi blockchain yang berkembang pesat.