В конце июля в экосистеме SuperRare — одной из ведущих платформ для торговли цифровым искусством на блокчейне — случился настоящий шок: злоумышленник тихо и незаметно забрал себе более 731 000 долларов в токенах RARE. Причина банальна, но фатальна — в смарт-контракте для стейкинга оказалась дыра в системе контроля доступа, позволившая любому желающему «чеканить» себе новые токены без ограничений.
Суть уязвимости: в контракте была функция, которая отвечала за эмиссию дополнительных RARE для вознаграждения стейкеров. Однако разработчики забыли прописать жёсткие проверки — кто именно и в каком количестве может вызывать этот метод. В результате злоумышленник просто обратился к функции «mint» от своего кошелька и быстро нагенерировал себе десятки миллионов токенов, которые без проблем пустил в оборот.
Обеспокоенные эксперты сходятся во мнении, что подобный провал в доступе можно было легко обнаружить ещё на этапе локального тестирования. Достаточно было прописать пару простых юнит-тестов, проверяющих, что только владелец контракта или специально назначенные роли могут выпускать новые монеты. Более того, современные инструменты статического анализа кода, а порой и популярные чат-боты на базе ChatGPT, уже умеют подсвечивать подобные «дыры» ещё до запуска проекта в основную сеть.
Почему эта история важна для всего рынка криптовалют и NFT? Во-первых, она напоминает, что даже зрелые и раскрученные проекты не застрахованы от элементарных ошибок программирования. Во-вторых, каждый подобный инцидент подрывает доверие инвесторов: ведь когда пользователи вкладываются в токены, они рассчитывают на прозрачность и безопасность, а не на нерадивость разработчиков. И, наконец, подобные «хаки» приводят к высокой волатильности цен и в конечном счёте сказываются на всей экосистеме децентрализованных финансов.
Тем не менее в мире крипты есть и хорошие новости: несмотря на любые потрясения, выгодный и быстрый обмен цифровых активов всегда доступен на надёжных платформах. Обменять любую популярную или экзотическую криптовалюту по комфортному курсу и всего за пару кликов можно на сайте https://comcash.io/ru/. Удобно, безопасно и без лишних комиссий — именно так должна выглядеть современная крипто-сервис.