Торгова платформа NFT Superrare зазнала в понеділок експлуатацію в розмірі 730 000 доларів через основну помилку розумного контракту, за якою експерти вважають, що можна було легко запобігти за допомогою стандартних практик тестування.
У понеділок у понеділок було використано контракт Superrare (рідкісні), що було використано близько 731 000 доларів рідкісних токенів, за словами кібер -кібербезпечних фірм.
Вразливість випливає з функції, яка означала дозволити лише конкретним адресам змінювати корінь Merkle, критичну структуру даних, яка визначає залишки користувачів. Однак логіка була помилково написана, щоб дозволити будь -яку адресу взаємодіяти з функцією.
0xaw, ведучий розробник на базовій децентралізованій біржовій базі чужорідної бази, зазначив, що помилка, про яку йдеться, була достатньо очевидною, щоб її спіймали Chatgpt. Cointelegraph незалежно перевірив, що модель O3 Openai успішно ідентифікувала недолік при тестуванні.
“Чатгпт би його спіймав, будь -яка половина компетентної Солдності Дев його спіймав би. В основному хтось, якби вони подивилися. Швидше за все, ніхто не робив”, – сказав 0xaw Cointelegraph.
Співзасновник Superrare Джонатан Перкінс заявив Cointelegraph, що жодних основних фондів протоколу не втрачається, а постраждалі користувачі будуть зроблені цілими. Він сказав, що виявляється, що на 61 гаманець уражений.
“Ми навчилися з цього, і тепер майбутні зміни пройдуть набагато більш надійний трубопровід огляду”, – сказав він.
Пов’язано: Хак криптовалюти перевищує 3,1 млрд доларів у 2025 році, коли недоліки доступу зберігаються: Хакен
Анатомія вразливості
Щоб визначити, чи слід дозволити зміну кореня Merkle, розумний контракт перевірив, якщо взаємодія не була конкретною адресою чи власником договору. Це протилежна логіка до того, що було призначено для виконання, що дозволяє комусь сифонувати з контракту, що ставить рідкісні.
Старший інженер страхової фірми з криптовалютою Nexus Mutual сказав Cointelegraph, що “одиничні тести вловили б цю помилку”.
Майк Тютін, архітектор Blockchain та головний директор з технологій у фірмі Amlbot, сказав: “Це дурна помилка розробника, яка не охоплювала тести (тому повне покриття важливе)”.
Генеральний директор AMLBOT Slava Demchuk також прийшов до того ж висновку, зазначивши, що “не було широкого тестування (або програми видавання помилок), яка могла б знайти його перед розгортанням”. Він підкреслив важливість тестування, зазначивши, що це “класичний приклад, чому смарт -контрактна логіка повинна бути жорстко аудована”. Він додав:
“Це є різким нагадуванням: в децентралізованих системах навіть одна помилка символів може мати серйозні наслідки”.
У той час як Перкінс наполягав на тому, що контракти були проведені аудитом та перевіреними підрозділом, він визнав, що помилка була введена пізно в процесі і не висвітлювалася в остаточних тестових сценаріях:
“Це болісне нагадування про те, як навіть невеликі зміни в складних системах можуть мати ненавмисні наслідки”.
Пов’язане: індійський обмін криптовалют Coindcx зламаний, 44 млн.
Важливість одиничного тестування
Одиничні тести – це невеликі, автоматизовані тести, які перевіряють, чи окремі частини (“одиниці”) програми – як правило, функціонує чи методи – працюють як очікувалося. Кожен тест націлений на конкретну поведінку або вихід на основі заданого введення, допомагаючи ловити помилки рано.
У цьому випадку тести, які перевіряють, чи можуть адреси чи не можуть викликати функцію, щоб змінити корінь Merkle, не змогли б.
“Під наглядом або неадекватним тестуванням ефект був тим самим: вразливість, що уникає, яка масово коштує”, – сказав Демчук Cointelegraph.
0xaw аналогічно сказав, що “проблема, звичайно, була, мабуть, повною відсутністю тестування”. Він сказав, що “це навіть не якийсь код, який добре працює в звичайних умовах, і не вдається, якщо натиснути його в потрібні місця”.
“Цей код просто робить протилежне тому, що ви очікуєте”, – додав він.
Перкінс заявив Cointelegraph, що рухаючись вперед, Superrare запровадив нові робочі процеси, які мандату повторно продують за будь-які зміни після аудитів, як би незначно.
Найбільш уразливості – це нагляд
0xaw сказав, що помилка – це “нормальна помилка людини”. Натомість те, що він розглядає як “монументальну помилку”, – це те, що він “потрапив у виробництво і залишився там”.
0xaw підкреслив, що переважна більшість серйозних вразливих місць походить від “дійсно дурних і легко запобіжних помилок”. І все -таки він зізнався, що “їх зазвичай трохи важче помітити, ніж це”.
Глава реагування на інциденти Хакена, Йеор Рудізія, погодився, що ретельне тестове висвітлення вловить недолік.
“Якщо переглядати цю функцію, це досить очевидна помилка”, – сказав він.
