مؤخراً، اكتشف أحد شركات الأمان وجود ثغرتين خطيرتين في عقد أحد المقتنيات الرقمية. قد تؤدي هذه الثغرات إلى قفل أصول المستخدمين أو عدم قدرة فريق المشروع على سحب الأموال.
ظهرت الثغرة الأولى في دالة معالجة الإرجاع. تقوم هذه الدالة بإرجاع الأموال لجميع المستخدمين من خلال حلقة، ولكن إذا كان أحد المستخدمين عقدًا ضارًّا، فقد يرفض استلام الإرجاع مما يؤدي إلى فشل المعاملة، مما يتسبب في انقطاع عملية الإرجاع بأكملها. لحسن الحظ، لم يتم استغلال هذه الثغرة فعليًا.
لتجنب المشكلات المماثلة، يُنصح فريق المشروع باتخاذ التدابير التالية لضمان استرداد آمن:
تقتصر المشاركة في المشروع على المستخدمين الأفراد فقط
استخدام رموز ERC20 بدلاً من الأصول الأصلية
تصميم آلية للمستخدمين لطلب استرداد الأموال بشكل نشط، بدلاً من الاسترداد الجماعي
!
الثغرة الثانية هي خطأ في الشيفرة. في دالة سحب أموال المشروع، تم استخدام متغير خاطئ في جملة الشرط للمقارنة. وهذا أدى إلى عدم إمكانية استيفاء هذا الشرط أبدًا، ولم يتمكن فريق المشروع من سحب الأموال المحتجزة في العقد. حاليًا، تم قفل أصول تزيد عن 34 مليون دولار في العقد.
!
تسلط هذه المشكلات الضوء مرة أخرى على أنه حتى المشاريع المعروفة قد ترتكب أخطاء بسيطة. يجب أن تتضمن عملية تطوير المشروع كتابة مجموعة كافية من حالات الاختبار، ويجب أن تتمتع بوعي أساسي بالأمان. على الرغم من أن تدقيق الأمان أصبح ممارسة شائعة في مجال التمويل اللامركزي، إلا أن تدقيق الأمان لا يزال مفقودًا في مشاريع المقتنيات الرقمية، وقد أدى هذا الحدث إلى خسائر مالية ضخمة.
تذكرنا هذه الحادثة بأن مشاريع المقتنيات الرقمية يجب أن تعير اهتمامًا لعمليات التدقيق الأمني، لمنع حدوث خسائر كبيرة مماثلة مرة أخرى.
!
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 19
أعجبني
19
6
مشاركة
تعليق
0/400
NFTRegretDiary
· منذ 14 س
درس آخر من صناديق السموم
شاهد النسخة الأصليةرد0
MevShadowranger
· 08-02 20:22
مرة أخرى نرى العقود الذكية تفشل، ماذا يفعل فريق المشروع؟
شاهد النسخة الأصليةرد0
0xSleepDeprived
· 08-02 20:21
لا يتم إجراء تدقيق gg
شاهد النسخة الأصليةرد0
ShamedApeSeller
· 08-02 20:17
إعادة المال إعادة المال أعد لي مالي الذي كسبته بجهدي
شاهد النسخة الأصليةرد0
BearMarketBarber
· 08-02 20:12
وظيفة الاسترداد بدائية جدًا محكوم
شاهد النسخة الأصليةرد0
SmartContractPlumber
· 08-02 20:11
إنها مرة أخرى ثغرة إعادة دخول دالة استرداد نموذجية، لقد رأينا هذا الخطأ البدائي كثيرًا في عام 21.
ثغرة في مشروع السلع الرقمية تؤدي إلى قفل 34 مليون دولار ، والتدقيق الأمني أصبح عاجلاً.
مؤخراً، اكتشف أحد شركات الأمان وجود ثغرتين خطيرتين في عقد أحد المقتنيات الرقمية. قد تؤدي هذه الثغرات إلى قفل أصول المستخدمين أو عدم قدرة فريق المشروع على سحب الأموال.
ظهرت الثغرة الأولى في دالة معالجة الإرجاع. تقوم هذه الدالة بإرجاع الأموال لجميع المستخدمين من خلال حلقة، ولكن إذا كان أحد المستخدمين عقدًا ضارًّا، فقد يرفض استلام الإرجاع مما يؤدي إلى فشل المعاملة، مما يتسبب في انقطاع عملية الإرجاع بأكملها. لحسن الحظ، لم يتم استغلال هذه الثغرة فعليًا.
لتجنب المشكلات المماثلة، يُنصح فريق المشروع باتخاذ التدابير التالية لضمان استرداد آمن:
!
الثغرة الثانية هي خطأ في الشيفرة. في دالة سحب أموال المشروع، تم استخدام متغير خاطئ في جملة الشرط للمقارنة. وهذا أدى إلى عدم إمكانية استيفاء هذا الشرط أبدًا، ولم يتمكن فريق المشروع من سحب الأموال المحتجزة في العقد. حاليًا، تم قفل أصول تزيد عن 34 مليون دولار في العقد.
!
تسلط هذه المشكلات الضوء مرة أخرى على أنه حتى المشاريع المعروفة قد ترتكب أخطاء بسيطة. يجب أن تتضمن عملية تطوير المشروع كتابة مجموعة كافية من حالات الاختبار، ويجب أن تتمتع بوعي أساسي بالأمان. على الرغم من أن تدقيق الأمان أصبح ممارسة شائعة في مجال التمويل اللامركزي، إلا أن تدقيق الأمان لا يزال مفقودًا في مشاريع المقتنيات الرقمية، وقد أدى هذا الحدث إلى خسائر مالية ضخمة.
تذكرنا هذه الحادثة بأن مشاريع المقتنيات الرقمية يجب أن تعير اهتمامًا لعمليات التدقيق الأمني، لمنع حدوث خسائر كبيرة مماثلة مرة أخرى.
!