Baru-baru ini, sebuah perusahaan keamanan menemukan dua kerentanan serius dalam kontrak koleksi digital tertentu. Kerentanan ini dapat menyebabkan aset pengguna terkunci atau dana tim proyek tidak dapat ditarik.
Kerentanan pertama muncul di fungsi pemrosesan pengembalian dana. Fungsi ini mengembalikan dana untuk semua pengguna dalam sebuah loop, tetapi jika salah satu pengguna adalah kontrak jahat, mereka mungkin menolak menerima pengembalian dana dan menyebabkan transaksi gagal, yang mengakibatkan keseluruhan proses pengembalian dana terhenti. Untungnya, kerentanan ini belum pernah dieksploitasi.
Untuk menghindari masalah serupa, disarankan agar tim proyek dapat mengambil langkah-langkah berikut untuk memastikan pengembalian dana yang aman:
Pembatasan hanya pengguna pribadi yang dapat berpartisipasi dalam proyek
Menggunakan token ERC20 daripada aset asli
Merancang mekanisme di mana pengguna secara aktif mengajukan permohonan pengembalian dana, bukan pengembalian dana secara massal
Kelemahan kedua adalah kesalahan kode. Di dalam fungsi untuk menarik dana proyek, sebuah pernyataan kondisi menggunakan variabel yang salah untuk perbandingan. Ini menyebabkan kondisi tersebut tidak pernah terpenuhi, tim proyek tidak dapat menarik dana dari kontrak. Saat ini, lebih dari 34 juta dolar aset terkunci dalam kontrak.
Masalah-masalah ini sekali lagi menyoroti bahwa bahkan proyek terkenal pun dapat mengalami kesalahan dasar. Pengembangan proyek perlu menulis cukup banyak kasus uji dan memiliki kesadaran dasar tentang keamanan. Meskipun di bidang keuangan terdesentralisasi, audit keamanan telah menjadi praktik umum, tetapi dalam proyek koleksi digital, audit keamanan masih hilang, dan peristiwa kali ini menyebabkan kerugian besar dalam dana.
Peristiwa ini mengingatkan kita bahwa proyek koleksi digital juga harus memperhatikan audit keamanan untuk mencegah kerugian besar serupa terjadi lagi.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
13 Suka
Hadiah
13
5
Bagikan
Komentar
0/400
MevShadowranger
· 08-02 20:22
Sekali lagi melihat kecelakaan smart contract, tim proyek sedang melakukan apa
Lihat AsliBalas0
0xSleepDeprived
· 08-02 20:21
Audit tidak dilakukan gg
Lihat AsliBalas0
ShamedApeSeller
· 08-02 20:17
Kembalikan uang, kembalikan uang, kembalikan uang yang saya kerja keras.
Lihat AsliBalas0
BearMarketBarber
· 08-02 20:12
Fitur pengembalian dana begitu kasar, doomed.
Lihat AsliBalas0
SmartContractPlumber
· 08-02 20:11
Ini adalah kerentanan reentrancy fungsi pengembalian dana yang khas, kesalahan dasar seperti ini sudah terlalu sering terlihat sejak tahun 21.
Proyek koleksi digital mengalami celah yang menyebabkan 34 juta dolar terkunci, audit keamanan mendesak dilakukan.
Baru-baru ini, sebuah perusahaan keamanan menemukan dua kerentanan serius dalam kontrak koleksi digital tertentu. Kerentanan ini dapat menyebabkan aset pengguna terkunci atau dana tim proyek tidak dapat ditarik.
Kerentanan pertama muncul di fungsi pemrosesan pengembalian dana. Fungsi ini mengembalikan dana untuk semua pengguna dalam sebuah loop, tetapi jika salah satu pengguna adalah kontrak jahat, mereka mungkin menolak menerima pengembalian dana dan menyebabkan transaksi gagal, yang mengakibatkan keseluruhan proses pengembalian dana terhenti. Untungnya, kerentanan ini belum pernah dieksploitasi.
Untuk menghindari masalah serupa, disarankan agar tim proyek dapat mengambil langkah-langkah berikut untuk memastikan pengembalian dana yang aman:
Kelemahan kedua adalah kesalahan kode. Di dalam fungsi untuk menarik dana proyek, sebuah pernyataan kondisi menggunakan variabel yang salah untuk perbandingan. Ini menyebabkan kondisi tersebut tidak pernah terpenuhi, tim proyek tidak dapat menarik dana dari kontrak. Saat ini, lebih dari 34 juta dolar aset terkunci dalam kontrak.
Masalah-masalah ini sekali lagi menyoroti bahwa bahkan proyek terkenal pun dapat mengalami kesalahan dasar. Pengembangan proyek perlu menulis cukup banyak kasus uji dan memiliki kesadaran dasar tentang keamanan. Meskipun di bidang keuangan terdesentralisasi, audit keamanan telah menjadi praktik umum, tetapi dalam proyek koleksi digital, audit keamanan masih hilang, dan peristiwa kali ini menyebabkan kerugian besar dalam dana.
Peristiwa ini mengingatkan kita bahwa proyek koleksi digital juga harus memperhatikan audit keamanan untuk mencegah kerugian besar serupa terjadi lagi.