Gần đây, một công ty bảo mật đã phát hiện ra rằng một hợp đồng tài sản số có hai lỗ hổng nghiêm trọng, gây ra sự chú ý rộng rãi trong ngành. Hai lỗ hổng này có thể dẫn đến hậu quả nghiêm trọng là tài sản của người dùng bị khóa và Bên dự án không thể rút tiền.
Lỗ hổng đầu tiên tồn tại trong chức năng hoàn tiền. Chức năng này thực hiện hoàn tiền cho tất cả người dùng thông qua vòng lặp, nhưng nếu có hợp đồng độc hại trong đó, có thể dẫn đến việc toàn bộ quá trình hoàn tiền bị gián đoạn, ảnh hưởng đến an toàn tài chính của tất cả người dùng. May mắn thay, lỗ hổng này đã không bị hacker khai thác.
Đối với điều này, các chuyên gia trong ngành khuyên rằng bên dự án nên áp dụng các biện pháp an toàn sau đây khi thiết kế cơ chế hoàn tiền:
Giới hạn người tham gia chỉ cho các tài khoản bên ngoài (EOA)
Sử dụng token ERC20 (như WETH) thay thế cho tài sản gốc
Thiết kế cơ chế người dùng chủ động nhận hoàn tiền, tránh thao tác hoàn tiền hàng loạt.
Lỗ hổng thứ hai là do lỗi logic trong mã. Trong hàm rút tiền của bên dự án, có một lỗi trong điều kiện kiểm tra, dẫn đến điều kiện rút tiền không bao giờ được thỏa mãn. Sai lầm này đã trực tiếp dẫn đến việc hơn 34 triệu đô la Mỹ bị khóa vĩnh viễn trong hợp đồng và không thể rút ra.
Sự kiện này lại một lần nữa làm nổi bật tầm quan trọng của việc kiểm toán an toàn trong quá trình phát triển dự án. Mặc dù trong lĩnh vực DeFi, kiểm toán an toàn đã trở thành thực tiễn tiêu chuẩn, nhưng trong các dự án tài sản số, bước này thường bị bỏ qua. Thiệt hại khổng lồ do sự kiện này gây ra chắc chắn đã gióng lên hồi chuông cảnh tỉnh cho ngành.
Các chuyên gia kêu gọi rằng các dự án tài sản số trong quá trình phát triển nên viết đầy đủ các trường hợp kiểm tra, nuôi dưỡng nhận thức an toàn cơ bản, và đưa vào cơ chế kiểm toán an toàn chuyên nghiệp để phòng ngừa sự xảy ra của các rủi ro tương tự. Điều này không chỉ liên quan đến danh tiếng và sự phát triển của chính dự án, mà còn ảnh hưởng trực tiếp đến sự an toàn tài sản của người dùng.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
11 thích
Phần thưởng
11
4
Đăng lại
Chia sẻ
Bình luận
0/400
LiquidationWatcher
· 18giờ trước
Lỗ hổng lớn như vậy mà không biết kiểm tra sao?
Xem bản gốcTrả lời0
MemeCurator
· 08-13 04:00
Dự án này thật tệ, ngay cả hợp đồng cũng không hiểu rõ.
Lỗi hợp đồng dự án tài sản số khiến 34 triệu USD bị khoá, chuyên gia kêu gọi chú trọng đến kiểm toán an toàn
Gần đây, một công ty bảo mật đã phát hiện ra rằng một hợp đồng tài sản số có hai lỗ hổng nghiêm trọng, gây ra sự chú ý rộng rãi trong ngành. Hai lỗ hổng này có thể dẫn đến hậu quả nghiêm trọng là tài sản của người dùng bị khóa và Bên dự án không thể rút tiền.
Lỗ hổng đầu tiên tồn tại trong chức năng hoàn tiền. Chức năng này thực hiện hoàn tiền cho tất cả người dùng thông qua vòng lặp, nhưng nếu có hợp đồng độc hại trong đó, có thể dẫn đến việc toàn bộ quá trình hoàn tiền bị gián đoạn, ảnh hưởng đến an toàn tài chính của tất cả người dùng. May mắn thay, lỗ hổng này đã không bị hacker khai thác.
Đối với điều này, các chuyên gia trong ngành khuyên rằng bên dự án nên áp dụng các biện pháp an toàn sau đây khi thiết kế cơ chế hoàn tiền:
Lỗ hổng thứ hai là do lỗi logic trong mã. Trong hàm rút tiền của bên dự án, có một lỗi trong điều kiện kiểm tra, dẫn đến điều kiện rút tiền không bao giờ được thỏa mãn. Sai lầm này đã trực tiếp dẫn đến việc hơn 34 triệu đô la Mỹ bị khóa vĩnh viễn trong hợp đồng và không thể rút ra.
Sự kiện này lại một lần nữa làm nổi bật tầm quan trọng của việc kiểm toán an toàn trong quá trình phát triển dự án. Mặc dù trong lĩnh vực DeFi, kiểm toán an toàn đã trở thành thực tiễn tiêu chuẩn, nhưng trong các dự án tài sản số, bước này thường bị bỏ qua. Thiệt hại khổng lồ do sự kiện này gây ra chắc chắn đã gióng lên hồi chuông cảnh tỉnh cho ngành.
Các chuyên gia kêu gọi rằng các dự án tài sản số trong quá trình phát triển nên viết đầy đủ các trường hợp kiểm tra, nuôi dưỡng nhận thức an toàn cơ bản, và đưa vào cơ chế kiểm toán an toàn chuyên nghiệp để phòng ngừa sự xảy ra của các rủi ro tương tự. Điều này không chỉ liên quan đến danh tiếng và sự phát triển của chính dự án, mà còn ảnh hưởng trực tiếp đến sự an toàn tài sản của người dùng.