Gần đây, một hợp đồng thông minh của một dự án số sưu tập nổi tiếng đã được phát hiện có hai lỗ hổng nghiêm trọng, gây ra sự chú ý rộng rãi trong ngành. Các công ty an ninh phân tích phát hiện rằng hợp đồng của dự án này có nguy cơ tấn công DoS có thể dẫn đến việc tài sản của người dùng bị khóa, cũng như một thiếu sót nghiêm trọng khiến Bên dự án không thể rút tiền.
Lỗ hổng đầu tiên nằm trong hàm xử lý hoàn tiền. Hàm này sử dụng vòng lặp để hoàn tiền cho người dùng, nhưng nếu đối tượng hoàn tiền là hợp đồng độc hại, có thể dẫn đến việc giao dịch bị từ chối thực hiện, từ đó ảnh hưởng đến tất cả các hoạt động hoàn tiền của người dùng. Mặc dù lỗ hổng này cuối cùng không bị khai thác, nhưng vẫn phơi bày các rủi ro về an ninh của bên dự án.
Đối với tình huống như vậy, các chuyên gia khuyên bên dự án có thể thực hiện các biện pháp sau để nâng cao tính an toàn của việc hoàn tiền:
Hạn chế loại người dùng tham gia, chỉ cho phép tài khoản người dùng thông thường tham gia
Sử dụng các tài sản chuẩn hóa như token ERC20, tránh sử dụng trực tiếp token gốc.
Thiết kế cơ chế yêu cầu hoàn tiền chủ động từ người dùng, thay thế cho thao tác hoàn tiền hàng loạt
Lỗ hổng thứ hai là do lỗi lập trình trong mã. Trong hàm rút tiền của dự án, một câu lệnh điều kiện quan trọng đã bị sai sót. Hai biến vốn nên được so sánh đã bị thay thế sai, dẫn đến điều kiện không bao giờ được thỏa mãn. Điều này đã dẫn đến việc hơn 34 triệu đô la Mỹ của dự án bị khóa vĩnh viễn trong hợp đồng và không thể rút ra.
Sự kiện này một lần nữa đã dấy lên lo ngại trong ngành về tính an toàn của các dự án tài sản số. Mặc dù lĩnh vực DeFi đã phổ biến việc chú trọng đến kiểm toán an ninh, nhưng trong các dự án tài sản số, kiểm toán an ninh dường như vẫn chưa được chú trọng đủ. Sự lơ là này có thể dẫn đến thiệt hại lớn, ảnh hưởng đến sự phát triển lành mạnh của toàn ngành.
Các chuyên gia kêu gọi, Bên dự án của các dự án tài sản số nên tăng cường nhận thức về an ninh, viết đủ các trường hợp kiểm tra trong quá trình phát triển, và nuôi dưỡng tư duy an ninh cơ bản. Đồng thời, việc đưa vào các cuộc kiểm toán an ninh chuyên nghiệp đã trở thành một phương tiện cần thiết để giảm thiểu rủi ro. Chỉ khi thực sự nâng cao tính an toàn của dự án, mới có thể tránh được sự cố tương tự xảy ra lần nữa, bảo vệ lợi ích của người dùng và Bên dự án.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
20 thích
Phần thưởng
20
6
Chia sẻ
Bình luận
0/400
PhantomMiner
· 08-04 13:20
Với trí thông minh này mà cũng dám phát hợp đồng?
Xem bản gốcTrả lời0
AirdropSweaterFan
· 08-04 11:25
Lại trồng thêm một cái, trong vòng người người lo lắng.
Xem bản gốcTrả lời0
AirdropBlackHole
· 08-01 22:29
Ôi, ai còn dám chơi cái này nữa.
Xem bản gốcTrả lời0
AirdropHarvester
· 08-01 22:15
又 một đồ ngốc chơi đùa với mọi người翻车了
Xem bản gốcTrả lời0
GateUser-00be86fc
· 08-01 22:14
Tsk tsk lại một hiện trường hợp đồng thông minh thất bại nữa
Xem bản gốcTrả lời0
quiet_lurker
· 08-01 22:12
Lại thấy hợp đồng thông minh thất bại, khi nào ngành này mới có thể ghi nhớ một chút?
Hợp đồng dự án sưu tập kỹ thuật số hiện có lỗ hổng nghiêm trọng, 34 triệu USD vốn bị khóa.
Gần đây, một hợp đồng thông minh của một dự án số sưu tập nổi tiếng đã được phát hiện có hai lỗ hổng nghiêm trọng, gây ra sự chú ý rộng rãi trong ngành. Các công ty an ninh phân tích phát hiện rằng hợp đồng của dự án này có nguy cơ tấn công DoS có thể dẫn đến việc tài sản của người dùng bị khóa, cũng như một thiếu sót nghiêm trọng khiến Bên dự án không thể rút tiền.
Lỗ hổng đầu tiên nằm trong hàm xử lý hoàn tiền. Hàm này sử dụng vòng lặp để hoàn tiền cho người dùng, nhưng nếu đối tượng hoàn tiền là hợp đồng độc hại, có thể dẫn đến việc giao dịch bị từ chối thực hiện, từ đó ảnh hưởng đến tất cả các hoạt động hoàn tiền của người dùng. Mặc dù lỗ hổng này cuối cùng không bị khai thác, nhưng vẫn phơi bày các rủi ro về an ninh của bên dự án.
Đối với tình huống như vậy, các chuyên gia khuyên bên dự án có thể thực hiện các biện pháp sau để nâng cao tính an toàn của việc hoàn tiền:
Lỗ hổng thứ hai là do lỗi lập trình trong mã. Trong hàm rút tiền của dự án, một câu lệnh điều kiện quan trọng đã bị sai sót. Hai biến vốn nên được so sánh đã bị thay thế sai, dẫn đến điều kiện không bao giờ được thỏa mãn. Điều này đã dẫn đến việc hơn 34 triệu đô la Mỹ của dự án bị khóa vĩnh viễn trong hợp đồng và không thể rút ra.
Sự kiện này một lần nữa đã dấy lên lo ngại trong ngành về tính an toàn của các dự án tài sản số. Mặc dù lĩnh vực DeFi đã phổ biến việc chú trọng đến kiểm toán an ninh, nhưng trong các dự án tài sản số, kiểm toán an ninh dường như vẫn chưa được chú trọng đủ. Sự lơ là này có thể dẫn đến thiệt hại lớn, ảnh hưởng đến sự phát triển lành mạnh của toàn ngành.
Các chuyên gia kêu gọi, Bên dự án của các dự án tài sản số nên tăng cường nhận thức về an ninh, viết đủ các trường hợp kiểm tra trong quá trình phát triển, và nuôi dưỡng tư duy an ninh cơ bản. Đồng thời, việc đưa vào các cuộc kiểm toán an ninh chuyên nghiệp đã trở thành một phương tiện cần thiết để giảm thiểu rủi ro. Chỉ khi thực sự nâng cao tính an toàn của dự án, mới có thể tránh được sự cố tương tự xảy ra lần nữa, bảo vệ lợi ích của người dùng và Bên dự án.