Нещодавно одна безпекова компанія виявила два серйозні вразливості в контракті цифрових колекцій, що викликало широке занепокоєння в галузі. Ці два вразливості можуть призвести до серйозних наслідків, таких як блокування активів користувачів та неможливість виведення коштів вечіркою проєкту.
Перший вразливість існує у функції повернення коштів. Ця функція здійснює повернення коштів для всіх користувачів у циклі, але якщо в неї включено шкідливий контракт, це може призвести до переривання всього процесу повернення коштів, що вплине на фінансову безпеку всіх користувачів. На щастя, цю вразливість не використали хакери.
У зв'язку з цим, експерти галузі рекомендують вечірка проєкту вжити такі заходи безпеки при розробці механізму повернення.
Обмежити учасників лише зовнішніми рахунками (EOA)
Використовуйте токени ERC20 (наприклад, WETH) замість рідних активів
Розробити механізм активного отримання退款 користувачами, щоб уникнути масових операцій退款.
!
Другий вразливість викликана логічною помилкою в коді. У функції вилучення коштів проектною вечіркою існує помилка в умовному виразі, що призводить до того, що умови для зняття коштів ніколи не можуть бути виконані. Ця помилка безпосередньо призвела до того, що понад 34 мільйони доларів були назавжди заблоковані в контракті і не можуть бути вилучені.
!
Ця подія ще раз підкреслила важливість безпеки аудиту в процесі розробки проєкту. Хоча в сфері DeFi безпека аудиту стала стандартною практикою, в проєктах цифрових колекцій цей етап часто ігнорується. Ця подія, що призвела до величезних втрат, безсумнівно, стала тривожним сигналом для галузі.
Експерти закликають, щоб проєкти цифрових колекцій під час розробки створювали достатню кількість тестових випадків, виховували базову обізнаність про безпеку та впроваджували професійні механізми безпеки, щоб запобігти подібним ризикам. Це стосується не лише репутації та розвитку самого проєкту, але й безпосередньо впливає на безпеку активів користувачів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
12 лайків
Нагородити
12
5
Репост
Поділіться
Прокоментувати
0/400
BearMarketSurvivor
· 5год тому
Друже, справді шкода, що замкнули.
Переглянути оригіналвідповісти на0
LiquidationWatcher
· 08-14 07:49
Чому така велика вразливість і ніхто не тестував?
Переглянути оригіналвідповісти на0
MemeCurator
· 08-13 04:00
Цей жахливий проект навіть не може зрозуміти контракт.
Вразливість контракту проекту цифрових колекцій призвела до блокування 34 мільйонів доларів США. Експерти закликають звернути увагу на безпеку аудиту.
Нещодавно одна безпекова компанія виявила два серйозні вразливості в контракті цифрових колекцій, що викликало широке занепокоєння в галузі. Ці два вразливості можуть призвести до серйозних наслідків, таких як блокування активів користувачів та неможливість виведення коштів вечіркою проєкту.
Перший вразливість існує у функції повернення коштів. Ця функція здійснює повернення коштів для всіх користувачів у циклі, але якщо в неї включено шкідливий контракт, це може призвести до переривання всього процесу повернення коштів, що вплине на фінансову безпеку всіх користувачів. На щастя, цю вразливість не використали хакери.
У зв'язку з цим, експерти галузі рекомендують вечірка проєкту вжити такі заходи безпеки при розробці механізму повернення.
!
Другий вразливість викликана логічною помилкою в коді. У функції вилучення коштів проектною вечіркою існує помилка в умовному виразі, що призводить до того, що умови для зняття коштів ніколи не можуть бути виконані. Ця помилка безпосередньо призвела до того, що понад 34 мільйони доларів були назавжди заблоковані в контракті і не можуть бути вилучені.
!
Ця подія ще раз підкреслила важливість безпеки аудиту в процесі розробки проєкту. Хоча в сфері DeFi безпека аудиту стала стандартною практикою, в проєктах цифрових колекцій цей етап часто ігнорується. Ця подія, що призвела до величезних втрат, безсумнівно, стала тривожним сигналом для галузі.
Експерти закликають, щоб проєкти цифрових колекцій під час розробки створювали достатню кількість тестових випадків, виховували базову обізнаність про безпеку та впроваджували професійні механізми безпеки, щоб запобігти подібним ризикам. Це стосується не лише репутації та розвитку самого проєкту, але й безпосередньо впливає на безпеку активів користувачів.
!