Нещодавно виявили два суттєві вразливості в смартконтракті проєкту цифрових колекцій, що викликало широке обговорення в галузі. Ці два вразливості можуть призвести до серйозних наслідків, включаючи блокування активів користувачів та неможливість виведення коштів вечірки проєкту.
Перший вразливість виникає у функції обробки повернень. Ця функція використовує цикл для повернення коштів усім користувачам, але якщо об'єкт повернення є зловмисним контрактом, це може призвести до зупинки всього процесу повернення. Хоча ця вразливість врешті-решт не була використана, все ще існує потенційний ризик.
Щоб уникнути подібних проблем, рекомендується вечірка проєкту при розробці механізму повернення коштів врахувати такі моменти:
Обмеження учасників лише зовнішніми рахунками (EOA)
Використання стандартних активів, таких як токени ERC20, замість рідних активів
Реалізувати функцію активного запиту на повернення коштів з боку користувача, а не масового повернення.
!
Другий вразливість є ще більш серйозною, оскільки вона безпосередньо впливає на можливість вечірки проєкту вилучити кошти. У функції вилучення коштів є логічна помилка, що призводить до того, що умова ніколи не може бути виконана. Ця помилка призвела до того, що понад 34 мільйони доларів активів були назавжди заблоковані в смартконтрактах і не можуть бути вилучені.
!
Виявлення цих двох вразливостей ще раз підкреслює важливість безпекового аудиту в процесі розробки проєктів. Хоча в сфері децентралізованих фінансів (DeFi) безпековий аудит став звичною практикою, в проєктах цифрових колекцій цей етап, здається, все ще ігнорується. Ця подія, що спричинила величезні збитки, безсумнівно, стала тривожним сигналом для галузі.
Вечірка проєкту під час розробки не тільки повинна складати повні тестові випадки, але й мати базову безпекову свідомість. Особливо для відомих проєктів, виникнення таких елементарних помилок дивує. Ця подія також нагадує нам, що навіть найпомітніші проєкти можуть мати серйозні безпекові ризики.
В цілому, цей інцидент ще раз підкреслив, що безпека та функціональність є однаково важливими у розробці блокчейн-проєктів. Вечірка проєкту повинна звертати увагу на аудит коду, створювати досконалі механізми безпеки для захисту інтересів користувачів і своїх власних. Водночас це також стало тривожним сигналом для всієї галузі, нагадуючи всім учасникам завжди залишатися пильними і спільно підтримувати здоровий розвиток екосистеми.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
6
Репост
Поділіться
Прокоментувати
0/400
GhostInTheChain
· 08-15 12:46
Знову один смартконтракт пропав~
Переглянути оригіналвідповісти на0
NFTArchaeologis
· 08-13 18:03
З огляду на історію вразливостей Meebits за два роки, це класична проблема стандартів у блокчейні.
Переглянути оригіналвідповісти на0
SchrodingersFOMO
· 08-13 18:01
знову обдурювати людей, як лохів
Переглянути оригіналвідповісти на0
GamefiEscapeArtist
· 08-13 17:59
Знову вибух смартконтрактів, так?
Переглянути оригіналвідповісти на0
MetaNeighbor
· 08-13 17:39
Знову прийшли нічого не робити? Три мільйони не можна вивести.
Виявлено вразливість проєкту цифрових колекцій, 34 мільйони доларів активів були назавжди заблоковані.
Нещодавно виявили два суттєві вразливості в смартконтракті проєкту цифрових колекцій, що викликало широке обговорення в галузі. Ці два вразливості можуть призвести до серйозних наслідків, включаючи блокування активів користувачів та неможливість виведення коштів вечірки проєкту.
Перший вразливість виникає у функції обробки повернень. Ця функція використовує цикл для повернення коштів усім користувачам, але якщо об'єкт повернення є зловмисним контрактом, це може призвести до зупинки всього процесу повернення. Хоча ця вразливість врешті-решт не була використана, все ще існує потенційний ризик.
Щоб уникнути подібних проблем, рекомендується вечірка проєкту при розробці механізму повернення коштів врахувати такі моменти:
!
Другий вразливість є ще більш серйозною, оскільки вона безпосередньо впливає на можливість вечірки проєкту вилучити кошти. У функції вилучення коштів є логічна помилка, що призводить до того, що умова ніколи не може бути виконана. Ця помилка призвела до того, що понад 34 мільйони доларів активів були назавжди заблоковані в смартконтрактах і не можуть бути вилучені.
!
Виявлення цих двох вразливостей ще раз підкреслює важливість безпекового аудиту в процесі розробки проєктів. Хоча в сфері децентралізованих фінансів (DeFi) безпековий аудит став звичною практикою, в проєктах цифрових колекцій цей етап, здається, все ще ігнорується. Ця подія, що спричинила величезні збитки, безсумнівно, стала тривожним сигналом для галузі.
Вечірка проєкту під час розробки не тільки повинна складати повні тестові випадки, але й мати базову безпекову свідомість. Особливо для відомих проєктів, виникнення таких елементарних помилок дивує. Ця подія також нагадує нам, що навіть найпомітніші проєкти можуть мати серйозні безпекові ризики.
В цілому, цей інцидент ще раз підкреслив, що безпека та функціональність є однаково важливими у розробці блокчейн-проєктів. Вечірка проєкту повинна звертати увагу на аудит коду, створювати досконалі механізми безпеки для захисту інтересів користувачів і своїх власних. Водночас це також стало тривожним сигналом для всієї галузі, нагадуючи всім учасникам завжди залишатися пильними і спільно підтримувати здоровий розвиток екосистеми.
!