Gần đây, một công ty bảo mật đã phát hiện ra rằng một hợp đồng tài sản số tồn tại hai lỗ hổng nghiêm trọng. Những lỗ hổng này có thể dẫn đến việc tài sản của người dùng bị khóa hoặc Bên dự án không thể rút tiền.
Lỗ hổng đầu tiên xuất hiện trong hàm xử lý hoàn tiền. Hàm này lặp qua tất cả người dùng để hoàn tiền, nhưng nếu một người dùng là hợp đồng độc hại, họ có thể từ chối nhận hoàn tiền và khiến giao dịch thất bại, dẫn đến việc toàn bộ quá trình hoàn tiền bị gián đoạn. May mắn thay, lỗ hổng này đã không bị khai thác thực tế.
Để tránh các vấn đề tương tự, Bên dự án nên thực hiện các biện pháp sau để đảm bảo hoàn tiền an toàn:
Hạn chế chỉ cá nhân người dùng mới có thể tham gia vào dự án
Sử dụng token ERC20 thay vì tài sản gốc
Thiết kế cơ chế để người dùng chủ động yêu cầu hoàn tiền, thay vì hoàn tiền hàng loạt.
Lỗ hổng thứ hai là một lỗi mã. Trong hàm rút tiền của dự án, một câu lệnh điều kiện đã sử dụng biến sai để so sánh. Điều này dẫn đến việc điều kiện đó không bao giờ được thỏa mãn, Bên dự án không thể rút tiền từ hợp đồng. Hiện tại, hơn 34 triệu đô la tài sản đang bị khóa trong hợp đồng.
Những vấn đề này lại làm nổi bật rằng ngay cả những dự án nổi tiếng cũng có thể xảy ra những sai sót cơ bản. Khi phát triển dự án, cần phải viết đầy đủ các trường hợp thử nghiệm và có ý thức an toàn cơ bản. Mặc dù trong lĩnh vực tài chính phi tập trung, kiểm toán an toàn đã trở thành một thực tiễn thông thường, nhưng trong các dự án sản phẩm số, kiểm toán an toàn vẫn thiếu, sự kiện lần này đã dẫn đến thiệt hại tài chính lớn.
Sự kiện này nhắc nhở chúng ta rằng các dự án tài sản số cũng nên chú trọng đến việc kiểm toán an toàn, để ngăn chặn những tổn thất nghiêm trọng tương tự xảy ra một lần nữa.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
19 thích
Phần thưởng
19
6
Chia sẻ
Bình luận
0/400
NFTRegretDiary
· 9giờ trước
Một bài học từ chiếc hộp độc hại khác
Xem bản gốcTrả lời0
MevShadowranger
· 08-02 20:22
Lại thấy hợp đồng thông minh thất bại Bên dự án đang làm gì
Xem bản gốcTrả lời0
0xSleepDeprived
· 08-02 20:21
Kiểm toán cũng không được thực hiện gg
Xem bản gốcTrả lời0
ShamedApeSeller
· 08-02 20:17
Hoàn tiền hoàn tiền, trả lại tiền mồ hôi nước mắt của tôi
Xem bản gốcTrả lời0
BearMarketBarber
· 08-02 20:12
Chức năng hoàn tiền thô ráp quá, chết tiệt.
Xem bản gốcTrả lời0
SmartContractPlumber
· 08-02 20:11
Lại là một lỗ hổng tái nhập của hàm hoàn lại tiền điển hình, lỗi sơ đẳng này đã thấy quá nhiều vào năm 21.
Lỗ hổng dự án sưu tầm kỹ thuật số khiến 34 triệu USD bị khóa, kiểm toán an ninh đang cấp bách.
Gần đây, một công ty bảo mật đã phát hiện ra rằng một hợp đồng tài sản số tồn tại hai lỗ hổng nghiêm trọng. Những lỗ hổng này có thể dẫn đến việc tài sản của người dùng bị khóa hoặc Bên dự án không thể rút tiền.
Lỗ hổng đầu tiên xuất hiện trong hàm xử lý hoàn tiền. Hàm này lặp qua tất cả người dùng để hoàn tiền, nhưng nếu một người dùng là hợp đồng độc hại, họ có thể từ chối nhận hoàn tiền và khiến giao dịch thất bại, dẫn đến việc toàn bộ quá trình hoàn tiền bị gián đoạn. May mắn thay, lỗ hổng này đã không bị khai thác thực tế.
Để tránh các vấn đề tương tự, Bên dự án nên thực hiện các biện pháp sau để đảm bảo hoàn tiền an toàn:
Lỗ hổng thứ hai là một lỗi mã. Trong hàm rút tiền của dự án, một câu lệnh điều kiện đã sử dụng biến sai để so sánh. Điều này dẫn đến việc điều kiện đó không bao giờ được thỏa mãn, Bên dự án không thể rút tiền từ hợp đồng. Hiện tại, hơn 34 triệu đô la tài sản đang bị khóa trong hợp đồng.
Những vấn đề này lại làm nổi bật rằng ngay cả những dự án nổi tiếng cũng có thể xảy ra những sai sót cơ bản. Khi phát triển dự án, cần phải viết đầy đủ các trường hợp thử nghiệm và có ý thức an toàn cơ bản. Mặc dù trong lĩnh vực tài chính phi tập trung, kiểm toán an toàn đã trở thành một thực tiễn thông thường, nhưng trong các dự án sản phẩm số, kiểm toán an toàn vẫn thiếu, sự kiện lần này đã dẫn đến thiệt hại tài chính lớn.
Sự kiện này nhắc nhở chúng ta rằng các dự án tài sản số cũng nên chú trọng đến việc kiểm toán an toàn, để ngăn chặn những tổn thất nghiêm trọng tương tự xảy ra một lần nữa.