Gần đây, một công ty an ninh phát hiện ra rằng một hợp đồng tài sản số có hai lỗ hổng nghiêm trọng, những lỗ hổng này có thể dẫn đến tài sản của người dùng bị khóa hoặc Bên dự án không thể rút tiền.
Lỗ hổng đầu tiên nằm trong hàm xử lý hoàn tiền. Hàm này sử dụng vòng lặp để hoàn tiền cho tất cả người dùng, nhưng nếu đối tượng hoàn tiền là hợp đồng độc hại, có thể sẽ từ chối nhận và dẫn đến giao dịch thất bại, từ đó ảnh hưởng đến hoạt động hoàn tiền của tất cả người dùng. May mắn thay, lỗ hổng này đã không bị khai thác.
Đối với các tình huống hoàn tiền tương tự, các chuyên gia khuyên nên thực hiện các biện pháp an toàn sau:
Hạn chế chỉ có tài khoản người dùng thông thường có thể tham gia dự án
Sử dụng token (như WETH) thay thế tài sản gốc
Thiết kế cơ chế để người dùng chủ động nhận hoàn tiền, tránh hoàn tiền hàng loạt.
Lỗ hổng thứ hai là một lỗi mã. Trong hàm rút tiền của bên dự án, có một lỗi kiểm tra điều kiện. Kiểm tra này đáng ra phải so sánh tiến độ hoàn tiền và chỉ số đấu thầu, nhưng lại sai sót so sánh với tổng số đấu thầu. Do tiến độ hoàn tiền luôn nhỏ hơn tổng số đấu thầu và không còn tăng lên, dẫn đến điều kiện này luôn không được thỏa mãn, khiến tài sản của bên dự án bị khóa vĩnh viễn trong hợp đồng. Hiện tại, hơn 34 triệu đô la tài sản đã bị khóa.
Sự kiện này một lần nữa làm nổi bật tầm quan trọng của sự an toàn trong các Bên dự án. Ngay cả những Bên dự án nổi tiếng cũng có thể mắc phải những sai lầm cơ bản. Nhóm phát triển cần phải viết đầy đủ các trường hợp kiểm tra và nuôi dưỡng ý thức an toàn cơ bản. Mặc dù trong lĩnh vực tài chính phi tập trung, kiểm toán an toàn đã trở thành một thực tiễn thông thường, nhưng trong các Bên dự án sản phẩm số vẫn còn thiếu sót, và sự kiện này đã dẫn đến thiệt hại lớn.
Sự kiện này nhắc nhở chúng ta rằng, bất kể quy mô của dự án, đều nên coi trọng tính an toàn của hợp đồng thông minh, tiến hành kiểm toán an toàn toàn diện để ngăn ngừa sự cố tương tự xảy ra.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
12 thích
Phần thưởng
12
8
Đăng lại
Chia sẻ
Bình luận
0/400
AirdropBlackHole
· 22giờ trước
Đây là phương pháp chơi đùa với mọi người mạnh nhất
Xem bản gốcTrả lời0
QuorumVoter
· 08-10 10:39
Cụ kỹ sư già nhìn thấy cũng phải khen ngợi.
Xem bản gốcTrả lời0
ShadowStaker
· 08-10 10:18
ví dụ điển hình về kiến trúc quản trị kém smh...
Xem bản gốcTrả lời0
MevTears
· 08-10 10:17
Sự cố hợp đồng đã trở thành chuyện thường ngày.
Xem bản gốcTrả lời0
CryptoPunster
· 08-10 10:17
Người ăn xin trong người ăn xin an toàn, All in hoàn toàn phụ thuộc vào số phận.
Xem bản gốcTrả lời0
AirdropCollector
· 08-10 10:16
Cắt lỗ chạy tốt, ngay cả vốn cũng không thể quay lại
Xem bản gốcTrả lời0
BearMarketSurvivor
· 08-10 10:10
Đều không biết viết mã, còn dám chơi hợp đồng thông minh!
Xem bản gốcTrả lời0
HalfIsEmpty
· 08-10 10:02
Một lần nữa, kiểm tra không đầy đủ gây hại cho người khác và chính mình.
Lỗi hợp đồng của tài sản số khiến 34 triệu đô la tài sản bị khóa. Chuyên gia nhắc nhở cần chú trọng đến kiểm toán an toàn.
Gần đây, một công ty an ninh phát hiện ra rằng một hợp đồng tài sản số có hai lỗ hổng nghiêm trọng, những lỗ hổng này có thể dẫn đến tài sản của người dùng bị khóa hoặc Bên dự án không thể rút tiền.
Lỗ hổng đầu tiên nằm trong hàm xử lý hoàn tiền. Hàm này sử dụng vòng lặp để hoàn tiền cho tất cả người dùng, nhưng nếu đối tượng hoàn tiền là hợp đồng độc hại, có thể sẽ từ chối nhận và dẫn đến giao dịch thất bại, từ đó ảnh hưởng đến hoạt động hoàn tiền của tất cả người dùng. May mắn thay, lỗ hổng này đã không bị khai thác.
Đối với các tình huống hoàn tiền tương tự, các chuyên gia khuyên nên thực hiện các biện pháp an toàn sau:
Lỗ hổng thứ hai là một lỗi mã. Trong hàm rút tiền của bên dự án, có một lỗi kiểm tra điều kiện. Kiểm tra này đáng ra phải so sánh tiến độ hoàn tiền và chỉ số đấu thầu, nhưng lại sai sót so sánh với tổng số đấu thầu. Do tiến độ hoàn tiền luôn nhỏ hơn tổng số đấu thầu và không còn tăng lên, dẫn đến điều kiện này luôn không được thỏa mãn, khiến tài sản của bên dự án bị khóa vĩnh viễn trong hợp đồng. Hiện tại, hơn 34 triệu đô la tài sản đã bị khóa.
Sự kiện này một lần nữa làm nổi bật tầm quan trọng của sự an toàn trong các Bên dự án. Ngay cả những Bên dự án nổi tiếng cũng có thể mắc phải những sai lầm cơ bản. Nhóm phát triển cần phải viết đầy đủ các trường hợp kiểm tra và nuôi dưỡng ý thức an toàn cơ bản. Mặc dù trong lĩnh vực tài chính phi tập trung, kiểm toán an toàn đã trở thành một thực tiễn thông thường, nhưng trong các Bên dự án sản phẩm số vẫn còn thiếu sót, và sự kiện này đã dẫn đến thiệt hại lớn.
Sự kiện này nhắc nhở chúng ta rằng, bất kể quy mô của dự án, đều nên coi trọng tính an toàn của hợp đồng thông minh, tiến hành kiểm toán an toàn toàn diện để ngăn ngừa sự cố tương tự xảy ra.