Уязвимость контракта цифровых коллекционных предметов привела к блокировке активов на сумму 34 миллиона долларов США. Эксперты призывают обратить внимание на безопасность аудита.
Недавно одна из компаний по безопасности обнаружила два серьезных уязвимости в контракте цифрового коллекционного предмета, которые могут привести к блокировке активов пользователей или невозможности вывода средств командой проекта.
Первый уязвимость находится в функции обработки возвратов. Эта функция использует цикл для возврата средств всем пользователям, но если объект возврата является вредоносным контрактом, он может отказать в приеме и привести к сбою транзакции, что, в свою очередь, повлияет на операции возврата всех пользователей. К счастью, эта уязвимость не была использована.
В связи с подобными ситуациями возврата, эксперты рекомендуют принять следующие меры безопасности:
Ограничение: только обычные аккаунты пользователей могут участвовать в проекте
Используйте токены (например, WETH) вместо нативных активов
Разработать механизм, позволяющий пользователям самостоятельно запрашивать возврат средств, чтобы избежать массовых возвратов.
!
Второй уязвимость заключается в ошибке кода. В функции извлечения средств командой проекта существует ошибка в условной проверке. Это условие должно сравнивать прогресс возврата средств и индекс заявки, но ошибочно сравнивается с общим количеством заявок. Поскольку прогресс возврата средств всегда меньше общего количества заявок и больше не увеличивается, условие никогда не выполняется, и средства команды проекта таким образом навсегда блокируются в контракте. В настоящее время более 34 миллионов долларов США заблокированы.
!
Этот инцидент еще раз подчеркивает важность безопасности проекта. Даже известные проекты могут допускать грубые ошибки. Команда проекта должна писать достаточное количество тестов и развивать базовое понимание безопасности. Хотя в области децентрализованных финансов безопасность стала обычной практикой, в проектах цифровых коллекционных предметов все еще есть недостатки, и этот инцидент привел к огромным потерям.
Это событие напоминает нам о том, что независимо от масштаба проекта, следует обращать внимание на безопасность смарт-контрактов и проводить полные аудиты безопасности, чтобы предотвратить возникновение подобных проблем.
!
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
12 Лайков
Награда
12
8
Репост
Поделиться
комментарий
0/400
AirdropBlackHole
· 21ч назад
Это самый сильный способ разыгрывать людей как неудачников.
Посмотреть ОригиналОтветить0
QuorumVoter
· 08-10 10:39
Старый инженер восклицает, что это специалист.
Посмотреть ОригиналОтветить0
ShadowStaker
· 08-10 10:18
классический пример плохой архитектуры управления, смх...
Посмотреть ОригиналОтветить0
MevTears
· 08-10 10:17
Инциденты с контрактами стали обычным делом.
Посмотреть ОригиналОтветить0
CryptoPunster
· 08-10 10:17
Гайчжунгай безопасность Все в полностью зависит от судьбы
Посмотреть ОригиналОтветить0
AirdropCollector
· 08-10 10:16
Сокращение потерь бежит хорошо, даже вернуть капитал не получится.
Посмотреть ОригиналОтветить0
BearMarketSurvivor
· 08-10 10:10
Все еще играете в смарт-контракты, даже не умея писать код!
Посмотреть ОригиналОтветить0
HalfIsEmpty
· 08-10 10:02
Опять из-за недостаточной проверки страдают и люди, и сами себя.
Уязвимость контракта цифровых коллекционных предметов привела к блокировке активов на сумму 34 миллиона долларов США. Эксперты призывают обратить внимание на безопасность аудита.
Недавно одна из компаний по безопасности обнаружила два серьезных уязвимости в контракте цифрового коллекционного предмета, которые могут привести к блокировке активов пользователей или невозможности вывода средств командой проекта.
Первый уязвимость находится в функции обработки возвратов. Эта функция использует цикл для возврата средств всем пользователям, но если объект возврата является вредоносным контрактом, он может отказать в приеме и привести к сбою транзакции, что, в свою очередь, повлияет на операции возврата всех пользователей. К счастью, эта уязвимость не была использована.
В связи с подобными ситуациями возврата, эксперты рекомендуют принять следующие меры безопасности:
!
Второй уязвимость заключается в ошибке кода. В функции извлечения средств командой проекта существует ошибка в условной проверке. Это условие должно сравнивать прогресс возврата средств и индекс заявки, но ошибочно сравнивается с общим количеством заявок. Поскольку прогресс возврата средств всегда меньше общего количества заявок и больше не увеличивается, условие никогда не выполняется, и средства команды проекта таким образом навсегда блокируются в контракте. В настоящее время более 34 миллионов долларов США заблокированы.
!
Этот инцидент еще раз подчеркивает важность безопасности проекта. Даже известные проекты могут допускать грубые ошибки. Команда проекта должна писать достаточное количество тестов и развивать базовое понимание безопасности. Хотя в области децентрализованных финансов безопасность стала обычной практикой, в проектах цифровых коллекционных предметов все еще есть недостатки, и этот инцидент привел к огромным потерям.
Это событие напоминает нам о том, что независимо от масштаба проекта, следует обращать внимание на безопасность смарт-контрактов и проводить полные аудиты безопасности, чтобы предотвратить возникновение подобных проблем.
!