مؤخراً، اكتشفت شركة أمان وجود ثغرتين خطيرتين في عقد مجموعة رقمية، مما أثار اهتماماً واسعاً في الصناعة. يمكن أن تؤدي هاتان الثغرتان إلى عواقب وخيمة تتمثل في قفل أصول المستخدمين وعدم إمكانية سحب أموال فريق المشروع.
يوجد الثغرة الأولى في دالة الاسترداد. تقوم هذه الدالة بإجراء استرداد لجميع المستخدمين بطريقة حلقية، ولكن إذا كان كائن الاسترداد عقدًا خبيثًا، فقد يرفض استلامه مما يؤدي إلى فشل المعاملة وبالتالي يؤثر على عملية استرداد جميع المستخدمين. لحسن الحظ، لم يتم استغلال هذه الثغرة حتى الآن.
في مثل هذه الحالات، يقترح الخبراء في الصناعة على فريق المشروع عند تصميم آلية الاسترداد أن يأخذوا في الاعتبار النقاط التالية: تقييد المشاركين ليكونوا فقط حسابات مستخدمين عاديين، استخدام الرموز المستقرة بدلاً من الأصول الأصلية، وتصميم وظيفة لاسترداد الأموال بشكل نشط من قبل المستخدم بدلاً من الاسترداد الجماعي.
!
الثغرة الثانية ناتجة عن خطأ منطقي في الشيفرة. في وظيفة استخراج أموال المشروع، يوجد عبارة شرطية كان من المفترض أن تقارن بين تقدم استرداد الأموال ومؤشر العطاء، لكنها بالمقابل قورنت بالعدد الإجمالي للعطاءات. أدى ذلك إلى عدم إمكانية تحقيق الشرط، مما أدى إلى قفل أموال فريق المشروع بشكل دائم في العقد. وبحسب التقارير، فإن الأموال المقفلة تجاوزت حالياً 34 مليون دولار.
!
أثار هذا الحدث مجددًا مخاوف الصناعة بشأن أمان مشاريع المقتنيات الرقمية. على الرغم من أن التدقيق الأمني أصبح ممارسة روتينية في مجال التمويل اللامركزي، إلا أن التدقيق الأمني يبدو أنه لم يحظ بالاهتمام الكافي في مشاريع المقتنيات الرقمية. يدعو الخبراء فريق المشروع إلى كتابة حالات اختبار كافية خلال عملية التطوير، وزيادة الوعي الأمني الأساسي، والنظر في إدخال تدقيق أمني محترف لتجنب الخسائر الكبيرة الناجمة عن أخطاء بسيطة مشابهة.
هذا الحدث يذكرنا مرة أخرى أنه حتى المشاريع المعروفة قد تحتوي على مخاطر أمنية خطيرة. في مجال Web3 المتطور بسرعة، يجب أن تكون الأمان دائمًا هو الاعتبار الأول.
!
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
هناك ثغرتان كبيرتان في عقد المقتنيات الرقمية وقد تم قفل 34 مليون دولار من الأموال.
مؤخراً، اكتشفت شركة أمان وجود ثغرتين خطيرتين في عقد مجموعة رقمية، مما أثار اهتماماً واسعاً في الصناعة. يمكن أن تؤدي هاتان الثغرتان إلى عواقب وخيمة تتمثل في قفل أصول المستخدمين وعدم إمكانية سحب أموال فريق المشروع.
يوجد الثغرة الأولى في دالة الاسترداد. تقوم هذه الدالة بإجراء استرداد لجميع المستخدمين بطريقة حلقية، ولكن إذا كان كائن الاسترداد عقدًا خبيثًا، فقد يرفض استلامه مما يؤدي إلى فشل المعاملة وبالتالي يؤثر على عملية استرداد جميع المستخدمين. لحسن الحظ، لم يتم استغلال هذه الثغرة حتى الآن.
في مثل هذه الحالات، يقترح الخبراء في الصناعة على فريق المشروع عند تصميم آلية الاسترداد أن يأخذوا في الاعتبار النقاط التالية: تقييد المشاركين ليكونوا فقط حسابات مستخدمين عاديين، استخدام الرموز المستقرة بدلاً من الأصول الأصلية، وتصميم وظيفة لاسترداد الأموال بشكل نشط من قبل المستخدم بدلاً من الاسترداد الجماعي.
!
الثغرة الثانية ناتجة عن خطأ منطقي في الشيفرة. في وظيفة استخراج أموال المشروع، يوجد عبارة شرطية كان من المفترض أن تقارن بين تقدم استرداد الأموال ومؤشر العطاء، لكنها بالمقابل قورنت بالعدد الإجمالي للعطاءات. أدى ذلك إلى عدم إمكانية تحقيق الشرط، مما أدى إلى قفل أموال فريق المشروع بشكل دائم في العقد. وبحسب التقارير، فإن الأموال المقفلة تجاوزت حالياً 34 مليون دولار.
!
أثار هذا الحدث مجددًا مخاوف الصناعة بشأن أمان مشاريع المقتنيات الرقمية. على الرغم من أن التدقيق الأمني أصبح ممارسة روتينية في مجال التمويل اللامركزي، إلا أن التدقيق الأمني يبدو أنه لم يحظ بالاهتمام الكافي في مشاريع المقتنيات الرقمية. يدعو الخبراء فريق المشروع إلى كتابة حالات اختبار كافية خلال عملية التطوير، وزيادة الوعي الأمني الأساسي، والنظر في إدخال تدقيق أمني محترف لتجنب الخسائر الكبيرة الناجمة عن أخطاء بسيطة مشابهة.
هذا الحدث يذكرنا مرة أخرى أنه حتى المشاريع المعروفة قد تحتوي على مخاطر أمنية خطيرة. في مجال Web3 المتطور بسرعة، يجب أن تكون الأمان دائمًا هو الاعتبار الأول.
!