NFT-plattformen SuperRare's $730K-utnyttelse: Et tilfelle av utilstrekkelig testing av smartkontrakt.

SuperRare’s Smart Contract Bug forårsaker tap av RARE-tokens

SuperRare, en NFT-handelsplattform, opplevde et tilbakeslag med sin smarte kontrakt som forårsaket et betydelig tap på $730,000. Det rapporteres at feilen i den smarte kontrakten var en grunnleggende feil som kunne vært unngått med riktig testing. Hulrommet i systemet tillot hackere å utnytte SuperRares staking-kontrakt og tappe rundt $731,000 i RARE-tokens, noe som ledet til et omfattende ran i kryptovalutaverdenen.

Merklerot-sårbarhet

Luken som førte til denne uheldige hendelsen ble sporet tilbake til en funksjon designet for å begrense interaksjon med Merkleroten. En Merklerot er en kritisk datakomponent som opprettholder brukerens innsatsbalanser. I tilfellet med SuperRare var denne funksjonen feilaktig kodet, noe som i stedet tillot enhver adresse å samhandle med den. Overseelsen viste seg å bli kostbar for NFT-handelsplattformen, og fikk diskusjoner til å blomstre i kryptosamfunnet. En slik diskusjon ble ledet av 0xAw, hovedutvikler ved den desentraliserte børsen Alien Base, som bemerket at feilen var så åpenbar at den kunne bli fanget opp av ChatGPT. Etter uavhengig verifisering, ble det bekreftet at OpenAIs o3-modell kunne identifisere feilen ved testing.

Eksperter meningsytrer om feilen

Kritisk til testingsgapet, understreket 0xAw at enhver kompetent Solidity-utvikler eller «chatbot» som ChatGPT kunne ha oppdaget den åpenbare feilen hadde de sett. Ved å bekrefte 0xAws uttalelse, uttalte Mike Tiutin, Chief Technology Officer i selskapet AMLBot, at feilen skyldtes mangel på skikkelig testing fra utviklerne. AMLBots administrerende direktør Slava Demchuk påpekte også nødvendigheten av omfattende testing og feilbelønning-programmer som potensielt kunne ha fanget feilen før implementering.

SuperRare forsikrer sikkerhetstiltak

Som respons på hendelsen, forsikret SuperRares medgrunnlegger Jonathan Perkins at til tross for tilbakeslaget, hadde ingen av de kjerneprotokollene midler gått tapt. Han nevnte videre at de berørte brukerne ville bli kompensert for sine tap og uttalte at totalt 61 lommebøker ble påvirket av denne utnyttelsen. Perkins innrømmet at feilen slapp igjennom til tross for revisjoner og enhetstesting, og erkjente at den ble introdusert sent i utviklingsprosessen og ikke var en del av de endelige testscenariene.

Enhetstesters rolle i programvareutvikling

Enhetstester fungerer som en kritisk komponent i programvareutvikling, spesielt med den økende forekomsten av kryptovaluta og smarte kontrakter. De er automatiserte tester som verifiserer individuelle deler av et program, vanligvis funksjoner eller metoder, og bekrefter at de fungerer som forventet basert på inndata. I dette scenarioet ville formålet med enhetstester vært å validere om adresser har tillatelse til å kalle funksjonen som endrer Merkleroten eller ikke. Denne overseelsen, eller snarere mangel på omfattende testing, åpnet for en sårbarhet som kostet SuperRare dyrt.

Behandle fremtidige problemer og implementere løsninger

Etter tilbakeslaget, har Perkins uttalt at SuperRare vil kreve ny-revisjoner for fremtidige endringer etter revisjon, uansett hvor små de måtte være, som en del av deres oppdaterte arbeidsflyt. Analytikere og blokkjede-eksperter insisterer på at slike feil kan unngås effektivt gjennom omfattende testing. Selv om det er uheldig, fungerer slike situasjoner som en påminnelse i det digitale valutamarkedet om at testmetodologier må være robuste for å minimere sårbarheter i kryptoplattformer.

NFT-plattformen SuperRare’s $730K-utnyttelse: Et tilfelle av utilstrekkelig testing av smartkontrakt.