مؤخراً، اكتشفت إحدى شركات الأمن وجود ثغرتين خطيرتين في عقد مجموعة رقمية، قد تؤدي هذه الثغرات إلى قفل أصول المستخدمين أو عدم قدرة فريق المشروع على سحب الأموال.
الثغرة الأولى تقع في دالة معالجة الاسترداد. تستخدم هذه الدالة حلقة لاسترداد الأموال لجميع المستخدمين، ولكن إذا كان كائن الاسترداد عقدًا خبيثًا، فقد يرفض استلامه مما يؤدي إلى فشل الصفقة، وبالتالي يؤثر على عمليات استرداد الأموال لجميع المستخدمين. لحسن الحظ، لم يتم استغلال هذه الثغرة.
القيود على المشاركة في المشروع متاحة فقط لحسابات المستخدمين العاديين
استخدم الرموز (مثل WETH) كبديل للأصول الأصلية
تصميم آلية لاسترداد الأموال من قبل المستخدمين بشكل نشط، لتجنب استرداد الأموال بالجملة
!
الثغرة الثانية هي خطأ في الشفرة. في دالة سحب الأموال من فريق المشروع، يوجد خطأ في شرط المقارنة. يجب أن يقارن هذا الشرط تقدم استرداد الأموال مع فهرس العطاء، لكنه يقارن خطأً مع إجمالي عدد العطاءات. نظرًا لأن تقدم استرداد الأموال سيكون دائمًا أقل من إجمالي عدد العطاءات، ولن يزداد، فإن الشرط لن يتحقق أبدًا، مما يؤدي إلى قفل أموال فريق المشروع بشكل دائم في العقد. حاليًا، تم قفل أصول تزيد عن 34 مليون دولار.
!
أكدت هذه الحادثة مرة أخرى على أهمية أمان المشاريع. حتى المشاريع المعروفة قد تواجه أخطاء بسيطة. يحتاج فريق التطوير إلى كتابة حالات اختبار كافية وتطوير الوعي الأساسي بالأمان. على الرغم من أن التدقيق الأمني أصبح ممارسة روتينية في مجال التمويل اللامركزي، إلا أن هناك نقصًا في ذلك في مشاريع المقتنيات الرقمية، وقد أدت هذه الحادثة إلى خسائر ضخمة.
تذكرنا هذه الحادثة بأنه يجب علينا، بغض النظر عن حجم المشروع، أن نعير اهتمامًا لأمان العقود الذكية، وأن نجري تدقيقًا أمنيًا شاملاً لمنع حدوث مشكلات مماثلة.
!
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 12
أعجبني
12
8
إعادة النشر
مشاركة
تعليق
0/400
AirdropBlackHole
· منذ 8 س
أقوى طرق خداع الناس لتحقيق الربح، هذا هو.
شاهد النسخة الأصليةرد0
QuorumVoter
· منذ 22 س
المهندس القديم نظر إلى ذلك وأطلق تعبيراً يدل على الخبرة
شاهد النسخة الأصليةرد0
ShadowStaker
· منذ 22 س
مثال كلاسيكي على بنية الحوكمة الضعيفة smh...
شاهد النسخة الأصليةرد0
MevTears
· منذ 22 س
أصبح حدوث حوادث العقد أمرًا شائعًا جدًا.
شاهد النسخة الأصليةرد0
CryptoPunster
· منذ 22 س
乞丐中乞丐 الأمان الجميع مشارك全靠命
شاهد النسخة الأصليةرد0
AirdropCollector
· منذ 22 س
قطع الخسارة جيدًا، حتى لا يمكن استرداد رأس المال
شاهد النسخة الأصليةرد0
BearMarketSurvivor
· منذ 23 س
لا يستطيعون كتابة كود، ومع ذلك يجرؤون على اللعب بالعقود الذكية!
ثغرة في عقد المقتنيات الرقمية تؤدي إلى قفل أصول بقيمة 34 مليون دولار، والخبراء يحذرون من أهمية تدقيق الأمان.
مؤخراً، اكتشفت إحدى شركات الأمن وجود ثغرتين خطيرتين في عقد مجموعة رقمية، قد تؤدي هذه الثغرات إلى قفل أصول المستخدمين أو عدم قدرة فريق المشروع على سحب الأموال.
الثغرة الأولى تقع في دالة معالجة الاسترداد. تستخدم هذه الدالة حلقة لاسترداد الأموال لجميع المستخدمين، ولكن إذا كان كائن الاسترداد عقدًا خبيثًا، فقد يرفض استلامه مما يؤدي إلى فشل الصفقة، وبالتالي يؤثر على عمليات استرداد الأموال لجميع المستخدمين. لحسن الحظ، لم يتم استغلال هذه الثغرة.
بالنسبة لسيناريوهات استرداد الأموال المماثلة، يوصي الخبراء باتخاذ التدابير الأمنية التالية:
!
الثغرة الثانية هي خطأ في الشفرة. في دالة سحب الأموال من فريق المشروع، يوجد خطأ في شرط المقارنة. يجب أن يقارن هذا الشرط تقدم استرداد الأموال مع فهرس العطاء، لكنه يقارن خطأً مع إجمالي عدد العطاءات. نظرًا لأن تقدم استرداد الأموال سيكون دائمًا أقل من إجمالي عدد العطاءات، ولن يزداد، فإن الشرط لن يتحقق أبدًا، مما يؤدي إلى قفل أموال فريق المشروع بشكل دائم في العقد. حاليًا، تم قفل أصول تزيد عن 34 مليون دولار.
!
أكدت هذه الحادثة مرة أخرى على أهمية أمان المشاريع. حتى المشاريع المعروفة قد تواجه أخطاء بسيطة. يحتاج فريق التطوير إلى كتابة حالات اختبار كافية وتطوير الوعي الأساسي بالأمان. على الرغم من أن التدقيق الأمني أصبح ممارسة روتينية في مجال التمويل اللامركزي، إلا أن هناك نقصًا في ذلك في مشاريع المقتنيات الرقمية، وقد أدت هذه الحادثة إلى خسائر ضخمة.
تذكرنا هذه الحادثة بأنه يجب علينا، بغض النظر عن حجم المشروع، أن نعير اهتمامًا لأمان العقود الذكية، وأن نجري تدقيقًا أمنيًا شاملاً لمنع حدوث مشكلات مماثلة.
!