Son günlerde, bir güvenlik şirketi bir dijital koleksiyon sözleşmesinde iki ciddi açık tespit etti. Bu açıklar, kullanıcı varlıklarının kilitlenmesine veya Proje Ekibi fonlarının çekilememesine neden olabilir.
İlk güvenlik açığı, geri ödeme işleme fonksiyonunda ortaya çıktı. Bu fonksiyon, tüm kullanıcılara geri ödeme yapmak için döngü kullanıyor, ancak eğer bir kullanıcı kötü niyetli bir sözleşme ise, geri ödemeyi kabul etmeyi reddedebilir ve işlemin başarısız olmasına yol açarak tüm geri ödeme sürecinin kesilmesine neden olabilir. Neyse ki, bu güvenlik açığı gerçekte kullanılmadı.
Benzer sorunların önlenmesi için Proje Ekibi'nin güvenli geri ödeme sağlamak adına aşağıdaki önlemleri alması önerilir:
Sadece bireysel kullanıcıların projeye katılmasına izin verilir.
Yerel varlıklar yerine ERC20 token kullanın.
Kullanıcıların aktif olarak geri ödeme talep etmeleri için bir mekanizma tasarlayın, toplu geri ödemeler yerine.
İkinci açık bir kod hatasıdır. Proje fonlarının çekilmesi için kullanılan bir fonksiyonda, bir koşul ifadesi yanlış bir değişkenle karşılaştırılmıştır. Bu, koşulun asla sağlanamamasına neden oldu ve Proje Ekibi sözleşmedeki fonları çekemedi. Şu anda, 34 milyon dolardan fazla varlık sözleşmede kilitlenmiş durumda.
Bu sorunlar, tanınmış projelerin bile basit hatalar yapabileceğini bir kez daha vurguluyor. Proje geliştirilirken yeterli test senaryoları yazılmalı ve temel güvenlik bilinci olmalıdır. Merkeziyetsiz finans alanında güvenlik denetimi artık standart bir uygulama haline gelmiş olsa da, dijital koleksiyon projelerinde güvenlik denetimi hâlâ eksik; bu olay da büyük mali kayıplara yol açtı.
Bu olay, dijital koleksiyon projelerinin de güvenlik denetimine önem vermesi gerektiğini hatırlatıyor, böylece benzer büyük kayıpların tekrar yaşanmasını önleyebiliriz.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
19 Likes
Reward
19
6
Share
Comment
0/400
NFTRegretDiary
· 17h ago
Bir başka zehirli kutunun dersi
View OriginalReply0
MevShadowranger
· 08-02 20:22
Yine akıllı sözleşmelerin başarısız olması, Proje Ekibi ne yapıyor?
View OriginalReply0
0xSleepDeprived
· 08-02 20:21
Denetim bile yapılmıyor gg
View OriginalReply0
ShamedApeSeller
· 08-02 20:17
Parayı geri ver, kanımın parasını geri ver
View OriginalReply0
BearMarketBarber
· 08-02 20:12
İade işlevi bu kadar kaba, mahkum oldu.
View OriginalReply0
SmartContractPlumber
· 08-02 20:11
Yine tipik bir geri ödeme fonksiyonu reentrancy açığı, bu tür basit hataları 21 yılda çok gördüm.
Dijital koleksiyon projesindeki açık, 34 milyon doların kilitlenmesine neden oldu. Güvenlik denetimi acil bir ihtiyaç.
Son günlerde, bir güvenlik şirketi bir dijital koleksiyon sözleşmesinde iki ciddi açık tespit etti. Bu açıklar, kullanıcı varlıklarının kilitlenmesine veya Proje Ekibi fonlarının çekilememesine neden olabilir.
İlk güvenlik açığı, geri ödeme işleme fonksiyonunda ortaya çıktı. Bu fonksiyon, tüm kullanıcılara geri ödeme yapmak için döngü kullanıyor, ancak eğer bir kullanıcı kötü niyetli bir sözleşme ise, geri ödemeyi kabul etmeyi reddedebilir ve işlemin başarısız olmasına yol açarak tüm geri ödeme sürecinin kesilmesine neden olabilir. Neyse ki, bu güvenlik açığı gerçekte kullanılmadı.
Benzer sorunların önlenmesi için Proje Ekibi'nin güvenli geri ödeme sağlamak adına aşağıdaki önlemleri alması önerilir:
İkinci açık bir kod hatasıdır. Proje fonlarının çekilmesi için kullanılan bir fonksiyonda, bir koşul ifadesi yanlış bir değişkenle karşılaştırılmıştır. Bu, koşulun asla sağlanamamasına neden oldu ve Proje Ekibi sözleşmedeki fonları çekemedi. Şu anda, 34 milyon dolardan fazla varlık sözleşmede kilitlenmiş durumda.
Bu sorunlar, tanınmış projelerin bile basit hatalar yapabileceğini bir kez daha vurguluyor. Proje geliştirilirken yeterli test senaryoları yazılmalı ve temel güvenlik bilinci olmalıdır. Merkeziyetsiz finans alanında güvenlik denetimi artık standart bir uygulama haline gelmiş olsa da, dijital koleksiyon projelerinde güvenlik denetimi hâlâ eksik; bu olay da büyük mali kayıplara yol açtı.
Bu olay, dijital koleksiyon projelerinin de güvenlik denetimine önem vermesi gerektiğini hatırlatıyor, böylece benzer büyük kayıpların tekrar yaşanmasını önleyebiliriz.