Нещодавно одна безпекова компанія виявила два серйозні вразливості в контракті цифрових колекцій. Ці вразливості можуть призвести до того, що активи користувачів будуть заблоковані або кошти вечірки проєкту не зможуть бути вилучені.
Перший вразливість існує у функції обробки повернень. Ця функція використовує циклічний метод для повернення коштів всім користувачам, але якщо певний користувач є зловмисним контрактом, він може відмовитися приймати повернення і перервати транзакцію, що призведе до невдачі операцій повернення всіх користувачів. На щастя, ця вразливість не була фактично використана.
Щоб уникнути подібних проблем, рекомендується вечірці проєкту вжити такі заходи безпеки:
Обмеження: тільки облікові записи особистих користувачів можуть брати участь у вечірці проєкту.
Використовуйте токени ERC20, а не рідні активи
Розробити механізм активного запиту на повернення коштів користувачами, а не масове повернення.
!
Другий вразливий момент викликаний логічною помилкою в коді. У функції вилучення коштів проєкту є оператор умовного порівняння, але об'єкт для порівняння неправильний. Це призводить до того, що умова ніколи не може бути виконана, і вечірка проєкту не може вилучити активи з контракту. Наразі понад 34 мільйони доларів активів назавжди заблоковані в цьому контракті.
!
Ці питання ще раз підкреслюють, що навіть у відомих проєктах можуть виникати грубі помилки. В процесі розробки достатнє тестування та базова обізнаність у безпеці є надзвичайно важливими. Хоча в галузі децентралізованих фінансів безпековий аудит став звичним, у проєктах цифрових колекцій безпекового аудиту все ще бракує. Це недбалість безпосередньо призвела до величезних фінансових втрат.
Ця подія нагадує нам, що незалежно від масштабу проєкту, слід приділяти увагу безпеці коду, проводити всебічне тестування та аудит, щоб запобігти повторенню подібних суттєвих втрат.
!
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
19 лайків
Нагородити
19
6
Поділіться
Прокоментувати
0/400
MeaninglessGwei
· 10год тому
Малі проекти запускаються без тестування, що з цим робити?
Переглянути оригіналвідповісти на0
BearMarketLightning
· 07-19 13:40
Легковажність грати не можна!
Переглянути оригіналвідповісти на0
NightAirdropper
· 07-18 22:25
Ще одна скамкойн зламалася.
Переглянути оригіналвідповісти на0
GateUser-ccc36bc5
· 07-18 22:24
Чи не могли б ви приділити більше уваги аудитам?
Переглянути оригіналвідповісти на0
WalletDoomsDay
· 07-18 22:24
А це, виявляється, знову вина вина смартконтрактів.
Вразливість контракту цифрових колекцій призвела до постійної блокування 34 мільйонів доларів США, підкреслюючи важливість безпекового аудиту.
Нещодавно одна безпекова компанія виявила два серйозні вразливості в контракті цифрових колекцій. Ці вразливості можуть призвести до того, що активи користувачів будуть заблоковані або кошти вечірки проєкту не зможуть бути вилучені.
Перший вразливість існує у функції обробки повернень. Ця функція використовує циклічний метод для повернення коштів всім користувачам, але якщо певний користувач є зловмисним контрактом, він може відмовитися приймати повернення і перервати транзакцію, що призведе до невдачі операцій повернення всіх користувачів. На щастя, ця вразливість не була фактично використана.
Щоб уникнути подібних проблем, рекомендується вечірці проєкту вжити такі заходи безпеки:
!
Другий вразливий момент викликаний логічною помилкою в коді. У функції вилучення коштів проєкту є оператор умовного порівняння, але об'єкт для порівняння неправильний. Це призводить до того, що умова ніколи не може бути виконана, і вечірка проєкту не може вилучити активи з контракту. Наразі понад 34 мільйони доларів активів назавжди заблоковані в цьому контракті.
!
Ці питання ще раз підкреслюють, що навіть у відомих проєктах можуть виникати грубі помилки. В процесі розробки достатнє тестування та базова обізнаність у безпеці є надзвичайно важливими. Хоча в галузі децентралізованих фінансів безпековий аудит став звичним, у проєктах цифрових колекцій безпекового аудиту все ще бракує. Це недбалість безпосередньо призвела до величезних фінансових втрат.
Ця подія нагадує нам, що незалежно від масштабу проєкту, слід приділяти увагу безпеці коду, проводити всебічне тестування та аудит, щоб запобігти повторенню подібних суттєвих втрат.
!