Dijital koleksiyon sözleşmesi açığı, 34 milyon dolarlık varlığın kilitlenmesine neden oldu. Uzmanlar güvenlik denetimine dikkat edilmesi gerektiğini hatırlatıyor.
Son günlerde, bir güvenlik şirketi belirli bir dijital koleksiyon sözleşmesinde iki ciddi açık keşfetti. Bu açıklar, kullanıcı varlıklarının kilitlenmesine veya Proje Ekibi fonlarının çekilememesine neden olabilir.
İlk güvenlik açığı, iade işleme fonksiyonunda bulunuyor. Bu fonksiyon, tüm kullanıcılar için iadeleri gerçekleştirmek üzere bir döngü kullanıyor, ancak eğer iade nesnesi kötü niyetli bir sözleşme ise, almayı reddedebilir ve bu da işlemin başarısız olmasına neden olabilir, dolayısıyla tüm kullanıcıların iade işlemlerini etkileyebilir. Neyse ki, bu güvenlik açığı kullanılmadı.
Benzer geri ödeme senaryoları için uzmanlar aşağıdaki güvenlik önlemlerinin alınmasını önermektedir:
Sadece normal kullanıcı hesaplarının projeye katılmasına izin verilir.
Yerel varlıkların yerine token kullanın (örneğin WETH)
Kullanıcıların proaktif olarak geri ödeme almasını sağlayan bir mekanizma tasarlayın, toplu geri ödemeleri önleyin.
İkinci açık bir kod hatasıdır. Proje Ekibi'nin fonları çekme fonksiyonunda bir koşul kontrolü hatası vardır. Bu kontrol, geri ödeme ilerlemesini ve teklif indeksini karşılaştırması gerekirken, yanlışlıkla toplam teklif sayısıyla karşılaştırılmaktadır. Geri ödeme ilerlemesi her zaman toplam teklif sayısından küçük olduğu ve artık artmadığı için koşul asla sağlanmamaktadır, bu nedenle Proje Ekibi'nin fonları sözleşmede kalıcı olarak kilitlenmiştir. Şu anda 34 milyon dolardan fazla varlık kilitlenmiştir.
Bu olay, proje güvenliğinin önemini bir kez daha vurguladı. Tanınmış projelerde bile basit hatalar meydana gelebilir. Geliştirme ekibi, yeterli test senaryoları yazmalı ve temel güvenlik bilincini geliştirmelidir. Merkeziyetsiz finans alanında güvenlik denetimi artık rutin bir uygulama haline gelmesine rağmen, dijital koleksiyon projelerinde hala eksiklikler bulunmaktadır ve bu olay büyük kayıplara yol açmıştır.
Bu olay, proje ölçeği ne olursa olsun, akıllı sözleşmelerin güvenliğine önem verilmesi ve benzer sorunların yaşanmaması için kapsamlı bir güvenlik denetimi yapılması gerektiğini hatırlatıyor.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
12 Likes
Reward
12
8
Repost
Share
Comment
0/400
AirdropBlackHole
· 8h ago
En güçlü enayi yerine koyma yöntemi bu.
View OriginalReply0
QuorumVoter
· 22h ago
Kıdemli mühendisler bile içten içe takdir ediyor.
View OriginalReply0
ShadowStaker
· 22h ago
kötü yönetim mimarisinin klasik örneği smh...
View OriginalReply0
MevTears
· 22h ago
Sözleşmelerdeki kazalar artık sıradan hale geldi.
View OriginalReply0
CryptoPunster
· 22h ago
Görünmez güvenlik Hepsi içeride tamamen şansa bağlı
View OriginalReply0
AirdropCollector
· 22h ago
Kesinti Kaybı koşmak iyi, ana parayı bile geri alamazsın.
View OriginalReply0
BearMarketSurvivor
· 23h ago
Kod yazmayı bilmeyenler, akıllı sözleşmelerle oynamaya cesaret ediyor!
View OriginalReply0
HalfIsEmpty
· 23h ago
Yine eksik kontrol hem kendine hem de başkalarına zarar veriyor.
Dijital koleksiyon sözleşmesi açığı, 34 milyon dolarlık varlığın kilitlenmesine neden oldu. Uzmanlar güvenlik denetimine dikkat edilmesi gerektiğini hatırlatıyor.
Son günlerde, bir güvenlik şirketi belirli bir dijital koleksiyon sözleşmesinde iki ciddi açık keşfetti. Bu açıklar, kullanıcı varlıklarının kilitlenmesine veya Proje Ekibi fonlarının çekilememesine neden olabilir.
İlk güvenlik açığı, iade işleme fonksiyonunda bulunuyor. Bu fonksiyon, tüm kullanıcılar için iadeleri gerçekleştirmek üzere bir döngü kullanıyor, ancak eğer iade nesnesi kötü niyetli bir sözleşme ise, almayı reddedebilir ve bu da işlemin başarısız olmasına neden olabilir, dolayısıyla tüm kullanıcıların iade işlemlerini etkileyebilir. Neyse ki, bu güvenlik açığı kullanılmadı.
Benzer geri ödeme senaryoları için uzmanlar aşağıdaki güvenlik önlemlerinin alınmasını önermektedir:
İkinci açık bir kod hatasıdır. Proje Ekibi'nin fonları çekme fonksiyonunda bir koşul kontrolü hatası vardır. Bu kontrol, geri ödeme ilerlemesini ve teklif indeksini karşılaştırması gerekirken, yanlışlıkla toplam teklif sayısıyla karşılaştırılmaktadır. Geri ödeme ilerlemesi her zaman toplam teklif sayısından küçük olduğu ve artık artmadığı için koşul asla sağlanmamaktadır, bu nedenle Proje Ekibi'nin fonları sözleşmede kalıcı olarak kilitlenmiştir. Şu anda 34 milyon dolardan fazla varlık kilitlenmiştir.
Bu olay, proje güvenliğinin önemini bir kez daha vurguladı. Tanınmış projelerde bile basit hatalar meydana gelebilir. Geliştirme ekibi, yeterli test senaryoları yazmalı ve temel güvenlik bilincini geliştirmelidir. Merkeziyetsiz finans alanında güvenlik denetimi artık rutin bir uygulama haline gelmesine rağmen, dijital koleksiyon projelerinde hala eksiklikler bulunmaktadır ve bu olay büyük kayıplara yol açmıştır.
Bu olay, proje ölçeği ne olursa olsun, akıllı sözleşmelerin güvenliğine önem verilmesi ve benzer sorunların yaşanmaması için kapsamlı bir güvenlik denetimi yapılması gerektiğini hatırlatıyor.