Baru-baru ini, sebuah perusahaan keamanan menemukan dua kerentanan serius dalam kontrak koleksi digital. Kerentanan ini dapat menyebabkan aset pengguna ter鎖 atau dana tim proyek tidak dapat ditarik.
Vuln pertama terdapat pada fungsi pemrosesan pengembalian dana. Fungsi ini menggunakan cara berulang untuk mengembalikan dana kepada semua pengguna, tetapi jika salah satu pengguna adalah kontrak jahat, mereka mungkin menolak untuk menerima pengembalian dana dan menghentikan transaksi, menyebabkan operasi pengembalian dana untuk semua pengguna gagal. Untungnya, kerentanan ini belum benar-benar dieksploitasi.
Untuk menghindari masalah serupa, disarankan agar tim proyek mengambil langkah-langkah keamanan berikut:
Pembatasan hanya akun pengguna pribadi yang dapat berpartisipasi dalam proyek
Menggunakan token ERC20 daripada aset asli
Merancang mekanisme pengembalian dana yang diinisiasi oleh pengguna, bukan pengembalian dana secara massal
Kelemahan kedua disebabkan oleh kesalahan logika dalam kode. Dalam fungsi penarikan dana proyek, terdapat pernyataan kondisi, tetapi objek yang dibandingkan salah. Ini menyebabkan kondisi tidak pernah terpenuhi, tim proyek tidak dapat menarik aset dalam kontrak. Saat ini, lebih dari 34 juta dolar aset terkunci permanen dalam kontrak tersebut.
Masalah-masalah ini sekali lagi menyoroti bahwa bahkan proyek-proyek terkenal pun dapat mengalami kesalahan dasar. Selama proses pengembangan, pengujian yang memadai dan kesadaran keamanan dasar sangat penting. Meskipun di bidang keuangan terdesentralisasi, audit keamanan telah menjadi praktik umum, tetapi dalam proyek koleksi digital, audit keamanan masih kurang. Kelalaian ini secara langsung menyebabkan kerugian finansial yang besar.
Kejadian ini mengingatkan kita bahwa, terlepas dari skala proyek, kita harus memprioritaskan keamanan kode, melakukan pengujian dan audit secara menyeluruh untuk mencegah kerugian besar serupa terjadi lagi.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
21 Suka
Hadiah
21
6
Bagikan
Komentar
0/400
MeaninglessGwei
· 07-21 03:10
Proyek kecil langsung diluncurkan tanpa pengujian, mau main apa?
Lihat AsliBalas0
BearMarketLightning
· 07-19 13:40
Hati-hati, jangan bermain-main!
Lihat AsliBalas0
NightAirdropper
· 07-18 22:25
Satu lagi scamcoin runtuh.
Lihat AsliBalas0
GateUser-ccc36bc5
· 07-18 22:24
Bisakah audit dilakukan dengan lebih serius?
Lihat AsliBalas0
WalletDoomsDay
· 07-18 22:24
Ah, ini ternyata memang kesalahan smart contract lagi.
Kerentanan kontrak koleksi digital mengakibatkan $34 juta terkunci permanen, menyoroti pentingnya audit keamanan.
Baru-baru ini, sebuah perusahaan keamanan menemukan dua kerentanan serius dalam kontrak koleksi digital. Kerentanan ini dapat menyebabkan aset pengguna ter鎖 atau dana tim proyek tidak dapat ditarik.
Vuln pertama terdapat pada fungsi pemrosesan pengembalian dana. Fungsi ini menggunakan cara berulang untuk mengembalikan dana kepada semua pengguna, tetapi jika salah satu pengguna adalah kontrak jahat, mereka mungkin menolak untuk menerima pengembalian dana dan menghentikan transaksi, menyebabkan operasi pengembalian dana untuk semua pengguna gagal. Untungnya, kerentanan ini belum benar-benar dieksploitasi.
Untuk menghindari masalah serupa, disarankan agar tim proyek mengambil langkah-langkah keamanan berikut:
Kelemahan kedua disebabkan oleh kesalahan logika dalam kode. Dalam fungsi penarikan dana proyek, terdapat pernyataan kondisi, tetapi objek yang dibandingkan salah. Ini menyebabkan kondisi tidak pernah terpenuhi, tim proyek tidak dapat menarik aset dalam kontrak. Saat ini, lebih dari 34 juta dolar aset terkunci permanen dalam kontrak tersebut.
Masalah-masalah ini sekali lagi menyoroti bahwa bahkan proyek-proyek terkenal pun dapat mengalami kesalahan dasar. Selama proses pengembangan, pengujian yang memadai dan kesadaran keamanan dasar sangat penting. Meskipun di bidang keuangan terdesentralisasi, audit keamanan telah menjadi praktik umum, tetapi dalam proyek koleksi digital, audit keamanan masih kurang. Kelalaian ini secara langsung menyebabkan kerugian finansial yang besar.
Kejadian ini mengingatkan kita bahwa, terlepas dari skala proyek, kita harus memprioritaskan keamanan kode, melakukan pengujian dan audit secara menyeluruh untuk mencegah kerugian besar serupa terjadi lagi.