ثغرة في عقد المقتنيات الرقمية تؤدي إلى قفل دائم بقيمة 34 مليون دولار، مما يبرز أهمية تدقيق الأمان

مؤخراً، اكتشفت إحدى شركات الأمان وجود ثغرتين خطيرتين في عقد مجموعة رقمية. يمكن أن تؤدي هذه الثغرات إلى قفل أصول المستخدمين أو عدم قدرة فريق المشروع على سحب الأموال.

توجد الثغرة الأولى في وظيفة معالجة رد الأموال. تستخدم هذه الوظيفة طريقة دورية لإجراء رد الأموال لجميع المستخدمين، ولكن إذا كان أحد المستخدمين عقدًا خبيثًا، فقد يرفض استلام رد الأموال ويتسبب في انقطاع المعاملة، مما يؤدي إلى فشل عمليات رد الأموال لجميع المستخدمين. لحسن الحظ، لم يتم استغلال هذه الثغرة فعليًا.

لتجنب مشكلات مماثلة، يُنصح فريق المشروع باتخاذ التدابير الأمنية التالية:

1. تقتصر المشاركة في المشروع على حسابات المستخدمين الأفراد فقط
2. استخدام رموز ERC20 بدلاً من الأصول الأصلية
3. تصميم آلية للمستخدمين لتقديم طلبات استرداد الأموال بشكل نشط، بدلاً من الاسترداد الجماعي

!

الثغرة الثانية ناتجة عن خطأ منطقي في الكود. في وظيفة استخراج أموال المشروع، يوجد عبارة شرطية، لكن الكائنات المقارنة غير صحيحة. هذا يؤدي إلى عدم إمكانية تحقق الشرط أبدًا، مما يمنع فريق المشروع من استخراج الأصول من العقد. حاليًا، تم قفل أصول تزيد عن 34 مليون دولار بشكل دائم في هذا العقد.

!

تسلط هذه القضايا الضوء مرة أخرى على أنه حتى المشاريع الشهيرة يمكن أن تواجه أخطاء بسيطة. خلال عملية التطوير، من الضروري إجراء اختبارات كافية ووجود وعي أساسي بالأمان. على الرغم من أن تدقيق الأمان أصبح ممارسة روتينية في مجال التمويل اللامركزي، إلا أن تدقيق الأمان لا يزال مفقودًا في مشاريع المقتنيات الرقمية. أدت هذه الإغفالات مباشرة إلى خسائر مالية ضخمة.

تذكّرنا هذه الحادثة بأنه يجب أن نولي أهمية لأمان الكود، بغض النظر عن حجم المشروع، وإجراء اختبارات وتدقيق شاملين، لمنع حدوث خسائر كبيرة مماثلة مرة أخرى.

!