Нещодавно було виявлено два серйозні вразливості у смартконтракті відомого проєкту цифрових колекцій, що викликало широке обговорення в індустрії. Аналіз безпеки показав, що контракт цього проєкту має ризик DoS-атаки, яка може призвести до блокування активів користувачів, а також重大缺陷, через який вечірка проєкту не може вивести кошти.
Перший вразливий момент знаходиться у функції обробки повернень. Ця функція використовує циклічний спосіб для повернення коштів користувачам, але якщо об'єкт повернення є шкідливим контрактом, це може призвести до відмови у виконанні транзакції, що, в свою чергу, вплине на всі операції повернення коштів користувачів. Хоча ця вразливість зрештою не була використана, вона все ж таки виявила безпекові ризики проєкту.
Щодо таких ситуацій, експерти рекомендують вечірці проєкту вжити такі заходи для підвищення безпеки повернення коштів:
Обмежити типи користувачів, які можуть брати участь, дозволити участь лише звичайним обліковим записам користувачів
Використовуйте стандартизовані активи, такі як токени ERC20, щоб уникнути прямого використання нативних токенів
Розробити механізм активного запиту користувачами на повернення коштів, що замінює масове повернення.
!
Другий недолік викликаний помилкою в написанні коду. У функції вилучення коштів проєкту сталася помилка в ключовій умові. Два змінні, які повинні були порівнюватися, були помилково замінені, внаслідок чого умова ніколи не могла бути виконана. Це безпосередньо призвело до того, що понад 34 мільйони доларів проєктних коштів були назавжди заблоковані в смартконтрактах і не могли бути вилучені.
!
Ця подія знову викликала занепокоєння в галузі щодо безпеки проєктів цифрових колекцій. Незважаючи на те, що в сфері DeFi вже широко звертають увагу на безпеку аудиту, у проєктах цифрових колекцій аудит безпеки, здається, все ще недостатньо оцінюється. Це нехтування може призвести до величезних втрат, вплинути на здоровий розвиток цілої галузі.
Експерти закликають, що проектні вечірки цифрових колекцій повинні посилити усвідомлення безпеки, під час розробки написати достатню кількість тестових випадків, виховувати базове безпекове мислення. Водночас залучення професійного аудиту безпеки стало необхідним засобом для зниження ризиків. Лише суттєве підвищення безпеки проєкту може запобігти повторенню подібних інцидентів, захищаючи інтереси користувачів та вечірки проєкту.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
20 лайків
Нагородити
20
6
Репост
Поділіться
Прокоментувати
0/400
PhantomMiner
· 08-04 13:20
З таким IQ наважуються випускати контракти?
Переглянути оригіналвідповісти на0
AirdropSweaterFan
· 08-04 11:25
Знову впав, люди в колі в паніці.
Переглянути оригіналвідповісти на0
AirdropBlackHole
· 08-01 22:29
Ой, хто ще наважиться грати в це, коли вже吐血了?
Переглянути оригіналвідповісти на0
AirdropHarvester
· 08-01 22:15
Ще один обдурювач невдах зазнав краху
Переглянути оригіналвідповісти на0
GateUser-00be86fc
· 08-01 22:14
Цього разу ще один провал смартконтрактів.
Переглянути оригіналвідповісти на0
quiet_lurker
· 08-01 22:12
Знову бачимо, як смартконтракти зазнають невдачі. Коли ж галузь навчиться на своїх помилках?
У проекті цифрових колекцій виявлено серйозну вразливість у контракті, внаслідок чого заблоковано 34 мільйони доларів.
Нещодавно було виявлено два серйозні вразливості у смартконтракті відомого проєкту цифрових колекцій, що викликало широке обговорення в індустрії. Аналіз безпеки показав, що контракт цього проєкту має ризик DoS-атаки, яка може призвести до блокування активів користувачів, а також重大缺陷, через який вечірка проєкту не може вивести кошти.
Перший вразливий момент знаходиться у функції обробки повернень. Ця функція використовує циклічний спосіб для повернення коштів користувачам, але якщо об'єкт повернення є шкідливим контрактом, це може призвести до відмови у виконанні транзакції, що, в свою чергу, вплине на всі операції повернення коштів користувачів. Хоча ця вразливість зрештою не була використана, вона все ж таки виявила безпекові ризики проєкту.
Щодо таких ситуацій, експерти рекомендують вечірці проєкту вжити такі заходи для підвищення безпеки повернення коштів:
!
Другий недолік викликаний помилкою в написанні коду. У функції вилучення коштів проєкту сталася помилка в ключовій умові. Два змінні, які повинні були порівнюватися, були помилково замінені, внаслідок чого умова ніколи не могла бути виконана. Це безпосередньо призвело до того, що понад 34 мільйони доларів проєктних коштів були назавжди заблоковані в смартконтрактах і не могли бути вилучені.
!
Ця подія знову викликала занепокоєння в галузі щодо безпеки проєктів цифрових колекцій. Незважаючи на те, що в сфері DeFi вже широко звертають увагу на безпеку аудиту, у проєктах цифрових колекцій аудит безпеки, здається, все ще недостатньо оцінюється. Це нехтування може призвести до величезних втрат, вплинути на здоровий розвиток цілої галузі.
Експерти закликають, що проектні вечірки цифрових колекцій повинні посилити усвідомлення безпеки, під час розробки написати достатню кількість тестових випадків, виховувати базове безпекове мислення. Водночас залучення професійного аудиту безпеки стало необхідним засобом для зниження ризиків. Лише суттєве підвищення безпеки проєкту може запобігти повторенню подібних інцидентів, захищаючи інтереси користувачів та вечірки проєкту.
!