Gần đây, một dự án tài sản số đã phát hiện ra hai lỗ hổng nghiêm trọng trong hợp đồng thông minh của nó, gây ra sự theo dõi rộng rãi trong ngành. Hai lỗ hổng này có thể dẫn đến hậu quả nghiêm trọng, bao gồm việc tài sản của người dùng bị khóa và Bên dự án không thể rút tiền.
Lỗ hổng đầu tiên xuất hiện trong hàm xử lý hoàn tiền. Hàm này sử dụng vòng lặp để hoàn tiền cho tất cả người dùng, nhưng nếu đối tượng hoàn tiền là hợp đồng độc hại, có thể dẫn đến việc toàn bộ quá trình hoàn tiền bị gián đoạn. Mặc dù lỗ hổng này cuối cùng không bị khai thác, nhưng vẫn tồn tại rủi ro tiềm ẩn.
Để tránh các vấn đề tương tự, bên dự án nên xem xét các điểm sau khi thiết kế cơ chế hoàn tiền:
Hạn chế người tham gia chỉ có thể là tài khoản bên ngoài (EOA)
Sử dụng các tài sản tiêu chuẩn như ERC20 thay thế cho tài sản gốc
Thực hiện chức năng người dùng chủ động yêu cầu hoàn tiền, chứ không phải hoàn tiền hàng loạt
Lỗ hổng thứ hai nghiêm trọng hơn, nó trực tiếp ảnh hưởng đến khả năng rút tiền của bên dự án. Trong hàm rút tiền, có một lỗi logic khiến điều kiện kiểm tra không bao giờ được thỏa mãn. Lỗi này khiến hơn 34 triệu đô la tài sản bị khóa vĩnh viễn trong hợp đồng, không thể rút ra.
Hai lỗ hổng này một lần nữa làm nổi bật tầm quan trọng của việc kiểm toán an ninh trong quá trình phát triển dự án. Mặc dù trong lĩnh vực tài chính phi tập trung (DeFi), kiểm toán an ninh đã trở thành thực tiễn thông thường, nhưng trong các dự án tài sản số, bước này dường như vẫn bị bỏ qua. Thiệt hại khổng lồ do sự kiện lần này gây ra chắc chắn đã vang lên hồi chuông cảnh tỉnh cho ngành.
Bên dự án trong quá trình phát triển không chỉ cần viết các trường hợp kiểm tra toàn diện mà còn phải có nhận thức cơ bản về an toàn. Đặc biệt là đối với các dự án nổi tiếng, việc xuất hiện những lỗi sơ đẳng như vậy thật đáng ngạc nhiên. Sự kiện này cũng nhắc nhở chúng ta rằng ngay cả những dự án được chú ý cũng có thể tồn tại những nguy cơ an ninh nghiêm trọng.
Tổng thể, sự kiện này một lần nữa nhấn mạnh rằng trong việc phát triển dự án blockchain, tính an toàn và chức năng đều quan trọng ngang nhau. Bên dự án nên chú trọng đến việc kiểm tra mã nguồn, thiết lập cơ chế an ninh hoàn chỉnh để bảo vệ lợi ích của người dùng và chính mình. Đồng thời, điều này cũng đã gióng lên hồi chuông cảnh báo cho toàn ngành, nhắc nhở tất cả các bên tham gia luôn giữ cảnh giác, cùng nhau duy trì sự phát triển lành mạnh của hệ sinh thái.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
8 thích
Phần thưởng
8
6
Đăng lại
Chia sẻ
Bình luận
0/400
GhostInTheChain
· 17giờ trước
Lại một hợp đồng thông minh nữa đã tàn rồi~
Xem bản gốcTrả lời0
NFTArchaeologis
· 08-13 18:03
Từ lịch sử lỗ hổng của Meebits cách đây hai năm, đây là một bài toán kinh điển về quy chuẩn on-chain.
Xem bản gốcTrả lời0
SchrodingersFOMO
· 08-13 18:01
又 chơi đùa với mọi người một đợt rồi
Xem bản gốcTrả lời0
GamefiEscapeArtist
· 08-13 17:59
Lại là hợp đồng thông minh phát nổ nhỉ
Xem bản gốcTrả lời0
MetaNeighbor
· 08-13 17:39
Lại đến lúc không làm việc nữa rồi, ba triệu cũng không rút ra được.
Lỗi trong dự án tài sản số bị phơi bày, 34 triệu USD tài sản bị khóa vĩnh viễn.
Gần đây, một dự án tài sản số đã phát hiện ra hai lỗ hổng nghiêm trọng trong hợp đồng thông minh của nó, gây ra sự theo dõi rộng rãi trong ngành. Hai lỗ hổng này có thể dẫn đến hậu quả nghiêm trọng, bao gồm việc tài sản của người dùng bị khóa và Bên dự án không thể rút tiền.
Lỗ hổng đầu tiên xuất hiện trong hàm xử lý hoàn tiền. Hàm này sử dụng vòng lặp để hoàn tiền cho tất cả người dùng, nhưng nếu đối tượng hoàn tiền là hợp đồng độc hại, có thể dẫn đến việc toàn bộ quá trình hoàn tiền bị gián đoạn. Mặc dù lỗ hổng này cuối cùng không bị khai thác, nhưng vẫn tồn tại rủi ro tiềm ẩn.
Để tránh các vấn đề tương tự, bên dự án nên xem xét các điểm sau khi thiết kế cơ chế hoàn tiền:
Lỗ hổng thứ hai nghiêm trọng hơn, nó trực tiếp ảnh hưởng đến khả năng rút tiền của bên dự án. Trong hàm rút tiền, có một lỗi logic khiến điều kiện kiểm tra không bao giờ được thỏa mãn. Lỗi này khiến hơn 34 triệu đô la tài sản bị khóa vĩnh viễn trong hợp đồng, không thể rút ra.
Hai lỗ hổng này một lần nữa làm nổi bật tầm quan trọng của việc kiểm toán an ninh trong quá trình phát triển dự án. Mặc dù trong lĩnh vực tài chính phi tập trung (DeFi), kiểm toán an ninh đã trở thành thực tiễn thông thường, nhưng trong các dự án tài sản số, bước này dường như vẫn bị bỏ qua. Thiệt hại khổng lồ do sự kiện lần này gây ra chắc chắn đã vang lên hồi chuông cảnh tỉnh cho ngành.
Bên dự án trong quá trình phát triển không chỉ cần viết các trường hợp kiểm tra toàn diện mà còn phải có nhận thức cơ bản về an toàn. Đặc biệt là đối với các dự án nổi tiếng, việc xuất hiện những lỗi sơ đẳng như vậy thật đáng ngạc nhiên. Sự kiện này cũng nhắc nhở chúng ta rằng ngay cả những dự án được chú ý cũng có thể tồn tại những nguy cơ an ninh nghiêm trọng.
Tổng thể, sự kiện này một lần nữa nhấn mạnh rằng trong việc phát triển dự án blockchain, tính an toàn và chức năng đều quan trọng ngang nhau. Bên dự án nên chú trọng đến việc kiểm tra mã nguồn, thiết lập cơ chế an ninh hoàn chỉnh để bảo vệ lợi ích của người dùng và chính mình. Đồng thời, điều này cũng đã gióng lên hồi chuông cảnh báo cho toàn ngành, nhắc nhở tất cả các bên tham gia luôn giữ cảnh giác, cùng nhau duy trì sự phát triển lành mạnh của hệ sinh thái.