Gần đây, một liên minh thể thao nổi tiếng đã ra mắt một loạt các bộ sưu tập kỹ thuật số, thu hút sự chú ý rộng rãi từ thị trường. Tuy nhiên, trong dự án được chú ý này, đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng. Lỗ hổng này cho phép một số kỹ thuật viên có thể tạo ra những bộ sưu tập kỹ thuật số này mà không tốn chi phí, và từ đó kiếm lợi.
Nguồn gốc của lỗ hổng bảo mật này nằm ở việc có một thiếu sót trong cơ chế xác thực đối với người dùng cụ thể. Cụ thể, hệ thống không đảm bảo hiệu quả rằng chữ ký xác thực chỉ có thể được sử dụng bởi người dùng được chỉ định, và mỗi chữ ký chỉ có thể được sử dụng một lần. Điều này dẫn đến một tình huống nguy hiểm: những người có kỹ thuật cao có thể tái sử dụng chữ ký của người dùng hợp pháp khác để tạo ra các bộ sưu tập kỹ thuật số.
Từ góc độ kỹ thuật, vấn đề nằm ở thiết kế của hàm xác thực. Hàm này trong quá trình xác thực chữ ký, không đưa địa chỉ của người khởi tạo giao dịch vào nội dung chữ ký. Điều đáng chú ý hơn là, hệ thống cũng không thiết lập cơ chế để đảm bảo mỗi chữ ký chỉ có thể được sử dụng một lần. Những điều này lẽ ra phải là những biện pháp an toàn cơ bản nhất trong phát triển phần mềm, nhưng lại bị bỏ qua trong dự án này.
Đối với một dự án có độ nổi tiếng cao như vậy, việc xuất hiện những lỗ hổng bảo mật cơ bản như thế này thực sự khiến người ta ngạc nhiên. Điều này không chỉ phơi bày sự sơ suất trong quản lý an ninh của bên dự án, mà còn làm nổi bật rằng trong lĩnh vực blockchain và tài sản kỹ thuật số, ngay cả những tổ chức lớn cũng có thể mắc phải những sai sót trong các thực hành an ninh cơ bản.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng, trong việc phát triển và triển khai hợp đồng thông minh, việc kiểm toán an toàn toàn diện và quy trình kiểm tra nghiêm ngặt là không thể thiếu. Đồng thời, nó cũng nhấn mạnh tầm quan trọng của việc học hỏi liên tục và cập nhật kiến thức an toàn trong lĩnh vực công nghệ blockchain đang phát triển nhanh chóng.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
14 thích
Phần thưởng
14
6
Đăng lại
Chia sẻ
Bình luận
0/400
degenonymous
· 16giờ trước
Ôi, lại phát hiện ra lỗ hổng mới.
Xem bản gốcTrả lời0
AirdropBuffet
· 08-12 02:32
Hợp đồng kỹ thuật viết không tốt thì chẳng khác gì cho tiền không.
Xem bản gốcTrả lời0
DataBartender
· 08-12 02:30
Không thu phí bảo vệ sao?
Xem bản gốcTrả lời0
GweiWatcher
· 08-12 02:24
Bạn không thể sửa lỗi cơ bản này sao? Chảy mồ hôi.jpg
Xem bản gốcTrả lời0
PriceOracleFairy
· 08-12 02:18
lmao một lỗ hổng tái phát chữ ký cổ điển khác... n00bs không bao giờ học được đúng không
Xem bản gốcTrả lời0
GateUser-a606bf0c
· 08-12 02:15
Không có chữ ký nào được xác minh cả, thật là quá đáng.
Dự án tài sản số của liên minh thể thao hiện có lỗ hổng bảo mật nghiêm trọng, lỗi kỹ thuật dẫn đến việc đang đúc miễn phí có thể xảy ra.
Gần đây, một liên minh thể thao nổi tiếng đã ra mắt một loạt các bộ sưu tập kỹ thuật số, thu hút sự chú ý rộng rãi từ thị trường. Tuy nhiên, trong dự án được chú ý này, đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng. Lỗ hổng này cho phép một số kỹ thuật viên có thể tạo ra những bộ sưu tập kỹ thuật số này mà không tốn chi phí, và từ đó kiếm lợi.
Nguồn gốc của lỗ hổng bảo mật này nằm ở việc có một thiếu sót trong cơ chế xác thực đối với người dùng cụ thể. Cụ thể, hệ thống không đảm bảo hiệu quả rằng chữ ký xác thực chỉ có thể được sử dụng bởi người dùng được chỉ định, và mỗi chữ ký chỉ có thể được sử dụng một lần. Điều này dẫn đến một tình huống nguy hiểm: những người có kỹ thuật cao có thể tái sử dụng chữ ký của người dùng hợp pháp khác để tạo ra các bộ sưu tập kỹ thuật số.
Từ góc độ kỹ thuật, vấn đề nằm ở thiết kế của hàm xác thực. Hàm này trong quá trình xác thực chữ ký, không đưa địa chỉ của người khởi tạo giao dịch vào nội dung chữ ký. Điều đáng chú ý hơn là, hệ thống cũng không thiết lập cơ chế để đảm bảo mỗi chữ ký chỉ có thể được sử dụng một lần. Những điều này lẽ ra phải là những biện pháp an toàn cơ bản nhất trong phát triển phần mềm, nhưng lại bị bỏ qua trong dự án này.
Đối với một dự án có độ nổi tiếng cao như vậy, việc xuất hiện những lỗ hổng bảo mật cơ bản như thế này thực sự khiến người ta ngạc nhiên. Điều này không chỉ phơi bày sự sơ suất trong quản lý an ninh của bên dự án, mà còn làm nổi bật rằng trong lĩnh vực blockchain và tài sản kỹ thuật số, ngay cả những tổ chức lớn cũng có thể mắc phải những sai sót trong các thực hành an ninh cơ bản.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng, trong việc phát triển và triển khai hợp đồng thông minh, việc kiểm toán an toàn toàn diện và quy trình kiểm tra nghiêm ngặt là không thể thiếu. Đồng thời, nó cũng nhấn mạnh tầm quan trọng của việc học hỏi liên tục và cập nhật kiến thức an toàn trong lĩnh vực công nghệ blockchain đang phát triển nhanh chóng.