Платформа NFT SuperRare и ее ущерб в $730 тыс.: пример недостаточного тестирования смарт-контрактов

Ошибка в смарт-контракте SuperRare привела к утрате токенов RARE

SuperRare, платформа для торговли NFT, столкнулась с проблемой из-за сбоя в своем смарт-контракте, что привело к потере в размере $730,000. Сообщается, что ошибка в смарт-контракте была простой ошибкой, которую можно было бы избежать, если бы использовались надлежащие методы тестирования. Уязвимость в системе позволила хакерам использовать контракт на ставки SuperRare и похитить около $731,000 в токенах RARE, что привело к крупному ограблению в мире криптовалюты.

Уязвимость Merkle Root

Проблема, приведшая к этой неприятности, была связана с функцией, предназначенной для ограничения взаимодействия с корнем Merkle. Корень Merkle является важным компонентом данных, который поддерживает балансы ставок пользователей. В случае SuperRare, эта функция была неправильно закодирована, что позволило любому адресу взаимодействовать с ней. Эта недоработка оказалась дорогой для платформы торговли NFT и вызвала обсуждения в криптосообществе. Одну из таких дискуссий возглавил 0xAw, главный разработчик децентрализованной биржи Alien Base, который отметил, что эта ошибка была настолько очевидной, что ее мог бы обнаружить ChatGPT. После независимой проверки было подтверждено, что модель O3 от OpenAI может успешно обнаружить эту ошибку на этапе тестирования.

Эксперты обсуждают ошибку

Критикуя недостаток тестирования, 0xAw подчеркнул, что любой компетентный разработчик на Solidity или «чат-бот» вроде ChatGPT смог бы выявить эту явную ошибку, если бы обратил внимание. Подтверждая заявление 0xAw, Майк Тютин, технический директор компании AMLBot, заявил, что ошибка возникла из-за отсутствия надлежащего тестирования со стороны разработчиков. Генеральный директор AMLBot Слава Демчук также подчеркнул необходимость обширного тестирования и программ bug bounty, которые могли бы выявить ошибку до развертывания.

SuperRare гарантирует меры безопасности

В ответ на инцидент сооснователь SuperRare Джонатан Перкинс заверил, что несмотря на неудачу, никакие основные средства протокола не были утрачены. Он также упомянул, что пострадавшие пользователи будут компенсированы за свои потери и отметил, что в результате этого использования пострадал 61 кошелек. Перкинс признал, что ошибка прошла мимо, несмотря на аудиты и юнит-тестирование, признав, что она была внедрена поздно в процессе разработки и не была частью финальных сценариев тестирования.

Роль юнит-тестов в разработке программного обеспечения

Юнит-тесты являются важным компонентом в разработке программного обеспечения, особенно с ростом популярности криптовалют и смарт-контрактов. Они представляют собой автоматизированные тесты, которые проверяют отдельные части программы, обычно функции или методы, и подтверждают, что они работают должным образом на основе входных параметров. В данном случае задачей юнит-тестов было бы проверить, разрешено ли адресам вызывать функцию, изменяющую корень Merkle. Этот упущение, или скорее отсутствие обширного тестирования, проложило путь к уязвимости, которая дорого обошлась SuperRare.

Решение будущих проблем и внедрение решений

После инцидента Перкинс заявил, что SuperRare будет требовать переаудитирования всех изменений после аудита в будущем, независимо от их масштаба, как часть их обновленного рабочего процесса. Аналитики и эксперты по блокчейну настаивают на том, что таких ошибок можно эффективно избежать с помощью обширного тестирования. Хотя это неприятно, подобные ситуации служат напоминанием в пространстве цифровых валют о том, что методы тестирования должны быть надежными, чтобы минимизировать уязвимости на криптоплатформах.