Нещодавно одна компанія з безпеки виявила два серйозні вразливості в контракті цифрових колекцій. Ці вразливості можуть призвести до блокування активів користувачів або неможливості виведення коштів вечірки проєкту.
Перший вразливість виникає в функції обробки повернень. Ця функція циклічно повертає кошти всім користувачам, але якщо якийсь користувач є зловмисним контрактом, він може відмовитися приймати повернення, що призведе до невдачі транзакції і зупинить весь процес повернення. На щастя, ця вразливість не була фактично використана.
Щоб уникнути подібних проблем, вечірка проєкту може вжити наступні заходи для забезпечення безпечного повернення коштів:
Обмеження, що тільки особисті користувачі можуть брати участь у вечірці проєкту
Використання токенів ERC20 замість нативних активів
Розробити механізм активного запиту на повернення коштів користувачами, а не масового повернення.
!
Другий вразливість – це помилка в коді. У функції вилучення коштів проєкту умовний оператор використовував неправильну змінну для порівняння. Це призвело до того, що ця умова ніколи не може бути виконана, і вечірка проєкту не може вилучити кошти з контракту. Наразі більше 34 мільйонів доларів активів заблоковано в контракті.
!
Ці проблеми ще раз підкреслюють, що навіть відомі проєкти можуть допускати грубі помилки. Під час розробки проєкту необхідно розробити достатню кількість тестових випадків і мати базову обізнаність про безпеку. Хоча в сфері децентралізованих фінансів безпековий аудит став звичною практикою, у проєктах цифрових колекцій безпековий аудит все ще відсутній, що призвело до величезних фінансових втрат.
Ця подія нагадує нам, що проєкти цифрових колекцій також повинні приділяти увагу безпеці аудиту, щоб запобігти повторенню подібних значних втрат.
!
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
19 лайків
Нагородити
19
6
Поділіться
Прокоментувати
0/400
NFTRegretDiary
· 08-05 09:52
Ще один урок от отруйної коробки
Переглянути оригіналвідповісти на0
MevShadowranger
· 08-02 20:22
Знову зламали смартконтракти. Що робить вечірка проєкту?
Вразливість проєкту цифрових колекцій призвела до блокування 34 мільйонів доларів США. Аудит безпеки є нагальним.
Нещодавно одна компанія з безпеки виявила два серйозні вразливості в контракті цифрових колекцій. Ці вразливості можуть призвести до блокування активів користувачів або неможливості виведення коштів вечірки проєкту.
Перший вразливість виникає в функції обробки повернень. Ця функція циклічно повертає кошти всім користувачам, але якщо якийсь користувач є зловмисним контрактом, він може відмовитися приймати повернення, що призведе до невдачі транзакції і зупинить весь процес повернення. На щастя, ця вразливість не була фактично використана.
Щоб уникнути подібних проблем, вечірка проєкту може вжити наступні заходи для забезпечення безпечного повернення коштів:
!
Другий вразливість – це помилка в коді. У функції вилучення коштів проєкту умовний оператор використовував неправильну змінну для порівняння. Це призвело до того, що ця умова ніколи не може бути виконана, і вечірка проєкту не може вилучити кошти з контракту. Наразі більше 34 мільйонів доларів активів заблоковано в контракті.
!
Ці проблеми ще раз підкреслюють, що навіть відомі проєкти можуть допускати грубі помилки. Під час розробки проєкту необхідно розробити достатню кількість тестових випадків і мати базову обізнаність про безпеку. Хоча в сфері децентралізованих фінансів безпековий аудит став звичною практикою, у проєктах цифрових колекцій безпековий аудит все ще відсутній, що призвело до величезних фінансових втрат.
Ця подія нагадує нам, що проєкти цифрових колекцій також повинні приділяти увагу безпеці аудиту, щоб запобігти повторенню подібних значних втрат.
!