Уязвимость контракта цифровых коллекционных предметов привела к постоянной блокировке 34 миллионов долларов, что подчеркивает важность безопасности аудита.
Недавно одна из компаний по безопасности обнаружила два серьезных уязвимости в контракте цифровой коллекции. Эти уязвимости могут привести к блокировке активов пользователей или к невозможности вывода средств командой проекта.
Первый недостаток заключается в функции обработки возвратов. Эта функция использует циклический метод для возврата средств всем пользователям, но если какой-то пользователь является вредоносным контрактом, он может отказаться от получения возврата и прервать транзакцию, что приведет к сбою операций возврата для всех пользователей. К счастью, этот недостаток не был фактически использован.
Чтобы избежать подобных проблем, рекомендуется, чтобы команда проекта приняла следующие меры безопасности:
Ограничение на участие в проекте только для личных аккаунтов пользователей
Используйте токены ERC20 вместо нативных активов
Разработать механизм, позволяющий пользователям самостоятельно запрашивать возврат средств, а не массовый возврат.
!
Вторая уязвимость вызвана логической ошибкой в коде. В функции извлечения средств проекта есть оператор условия, но объект сравнения неправильный. Это приводит к тому, что условие никогда не выполняется, и команда проекта не может извлечь активы из контракта. В настоящее время более 34 миллионов долларов активов навсегда заблокированы в этом контракте.
!
Эти проблемы снова подчеркивают, что даже у известных проектов могут возникать элементарные ошибки. В процессе разработки крайне важно проводить тщательное тестирование и иметь базовое понимание безопасности. Хотя в области децентрализованных финансов безопасность аудита стала обычной практикой, в проектах цифровых коллекционных предметов аудит безопасности по-прежнему отсутствует. Это упущение напрямую привело к значительным финансовым потерям.
Это событие напоминает нам о том, что независимо от масштаба проекта, следует придавать значение безопасности кода, проводить полное тестирование и аудит, чтобы предотвратить повторение подобных значительных убытков.
!
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
21 Лайков
Награда
21
6
Поделиться
комментарий
0/400
MeaninglessGwei
· 18ч назад
Маленькие проекты выходят в эфир без тестирования, что здесь интересного?
Уязвимость контракта цифровых коллекционных предметов привела к постоянной блокировке 34 миллионов долларов, что подчеркивает важность безопасности аудита.
Недавно одна из компаний по безопасности обнаружила два серьезных уязвимости в контракте цифровой коллекции. Эти уязвимости могут привести к блокировке активов пользователей или к невозможности вывода средств командой проекта.
Первый недостаток заключается в функции обработки возвратов. Эта функция использует циклический метод для возврата средств всем пользователям, но если какой-то пользователь является вредоносным контрактом, он может отказаться от получения возврата и прервать транзакцию, что приведет к сбою операций возврата для всех пользователей. К счастью, этот недостаток не был фактически использован.
Чтобы избежать подобных проблем, рекомендуется, чтобы команда проекта приняла следующие меры безопасности:
!
Вторая уязвимость вызвана логической ошибкой в коде. В функции извлечения средств проекта есть оператор условия, но объект сравнения неправильный. Это приводит к тому, что условие никогда не выполняется, и команда проекта не может извлечь активы из контракта. В настоящее время более 34 миллионов долларов активов навсегда заблокированы в этом контракте.
!
Эти проблемы снова подчеркивают, что даже у известных проектов могут возникать элементарные ошибки. В процессе разработки крайне важно проводить тщательное тестирование и иметь базовое понимание безопасности. Хотя в области децентрализованных финансов безопасность аудита стала обычной практикой, в проектах цифровых коллекционных предметов аудит безопасности по-прежнему отсутствует. Это упущение напрямую привело к значительным финансовым потерям.
Это событие напоминает нам о том, что независимо от масштаба проекта, следует придавать значение безопасности кода, проводить полное тестирование и аудит, чтобы предотвратить повторение подобных значительных убытков.
!