Криптовалюта

30 июля, 2025

Платформа NFT SuperRare и ее ущерб в $730 тыс.: пример недостаточного тестирования смарт-контрактов

"Stylized coding bug signifying exploit on SuperRare's NFT trading platform against a dark digital backdrop, showing RARE tokens being stolen and a stressed text overlay of the severe $731,000 value threat, accented with orange, dark and midnight blue brand colors, amid subtly interwoven binary code."

Ошибка в смарт-контракте SuperRare привела к утрате токенов RARE

SuperRare, платформа для торговли NFT, столкнулась с проблемой из-за сбоя в своем смарт-контракте, что привело к потере в размере $730,000. Сообщается, что ошибка в смарт-контракте была простой ошибкой, которую можно было бы избежать, если бы использовались надлежащие методы тестирования. Уязвимость в системе позволила хакерам использовать контракт на ставки SuperRare и похитить около $731,000 в токенах RARE, что привело к крупному ограблению в мире криптовалюты.

Уязвимость Merkle Root

Проблема, приведшая к этой неприятности, была связана с функцией, предназначенной для ограничения взаимодействия с корнем Merkle. Корень Merkle является важным компонентом данных, который поддерживает балансы ставок пользователей. В случае SuperRare, эта функция была неправильно закодирована, что позволило любому адресу взаимодействовать с ней. Эта недоработка оказалась дорогой для платформы торговли NFT и вызвала обсуждения в криптосообществе. Одну из таких дискуссий возглавил 0xAw, главный разработчик децентрализованной биржи Alien Base, который отметил, что эта ошибка была настолько очевидной, что ее мог бы обнаружить ChatGPT. После независимой проверки было подтверждено, что модель O3 от OpenAI может успешно обнаружить эту ошибку на этапе тестирования.

Эксперты обсуждают ошибку

Критикуя недостаток тестирования, 0xAw подчеркнул, что любой компетентный разработчик на Solidity или «чат-бот» вроде ChatGPT смог бы выявить эту явную ошибку, если бы обратил внимание. Подтверждая заявление 0xAw, Майк Тютин, технический директор компании AMLBot, заявил, что ошибка возникла из-за отсутствия надлежащего тестирования со стороны разработчиков. Генеральный директор AMLBot Слава Демчук также подчеркнул необходимость обширного тестирования и программ bug bounty, которые могли бы выявить ошибку до развертывания.

SuperRare гарантирует меры безопасности

В ответ на инцидент сооснователь SuperRare Джонатан Перкинс заверил, что несмотря на неудачу, никакие основные средства протокола не были утрачены. Он также упомянул, что пострадавшие пользователи будут компенсированы за свои потери и отметил, что в результате этого использования пострадал 61 кошелек. Перкинс признал, что ошибка прошла мимо, несмотря на аудиты и юнит-тестирование, признав, что она была внедрена поздно в процессе разработки и не была частью финальных сценариев тестирования.

Роль юнит-тестов в разработке программного обеспечения

Юнит-тесты являются важным компонентом в разработке программного обеспечения, особенно с ростом популярности криптовалют и смарт-контрактов. Они представляют собой автоматизированные тесты, которые проверяют отдельные части программы, обычно функции или методы, и подтверждают, что они работают должным образом на основе входных параметров. В данном случае задачей юнит-тестов было бы проверить, разрешено ли адресам вызывать функцию, изменяющую корень Merkle. Этот упущение, или скорее отсутствие обширного тестирования, проложило путь к уязвимости, которая дорого обошлась SuperRare.

Решение будущих проблем и внедрение решений

После инцидента Перкинс заявил, что SuperRare будет требовать переаудитирования всех изменений после аудита в будущем, независимо от их масштаба, как часть их обновленного рабочего процесса. Аналитики и эксперты по блокчейну настаивают на том, что таких ошибок можно эффективно избежать с помощью обширного тестирования. Хотя это неприятно, подобные ситуации служат напоминанием в пространстве цифровых валют о том, что методы тестирования должны быть надежными, чтобы минимизировать уязвимости на криптоплатформах.
Dmitry Ivanov

Head of SEO & Growth

Дмитрий Иванов — специалист по цифровому маркетингу и SEO из Санкт-Петербурга, Россия, обладающий глубокими знаниями в области поисковой оптимизации, контент-маркетинга и growth hacking. Известный своим аналитическим складом ума и стратегическим подходом, он помог брендам в сфере технологий, финансов и электронной коммерции расширить свое присутствие в интернете и занять лидирующие позиции в поисковой выдаче.

Имея богатый опыт в области SEO на основе данных, UX-оптимизации и оптимизации коэффициента конверсии (CRO), Дмитрий специализируется на создании высокоэффективных контентных экосистем, которые привлекают, вовлекают и конвертируют пользователей. Его подход сочетает в себе передовые методы технического SEO, контент-инжиниринга и автоматизации на основе искусственного интеллекта для обеспечения масштабируемого и долгосрочного роста.

Свободно владея русским и английским языками, он успешно вел SEO-кампании на различных международных рынках, обеспечивая учет культурных и языковых нюансов в стратегиях локализации.

 

Последние посты Dmitry Ivanov

Последние сообщения из категории Криптовалюта