Недавно одна компания по безопасности обнаружила два серьезных уязвимости в контракте цифровых коллекционных предметов, что вызвало широкий интерес в отрасли. Эти два уязвимости могут привести к серьезным последствиям, таким как блокировка активов пользователей и невозможность вывода средств командой проекта.
Первый уязвимость находится в функции возврата средств. Эта функция осуществляет возврат средств всем пользователям в циклическом порядке, но если объект возврата является злонамеренным контрактом, он может отказать в получении, что приведет к сбою транзакции и, следовательно, повлияет на процесс возврата средств для всех пользователей. К счастью, эта уязвимость в настоящее время не была использована.
В связи с подобными ситуациями эксперты отрасли рекомендуют команде проекта при разработке механизма возврата учитывать следующие моменты: ограничить участие только обычными пользовательскими аккаунтами, использовать стабильные токены вместо нативных активов, разработать функцию, позволяющую пользователям самостоятельно запрашивать возврат, а не массовый возврат и т.д.
!
Второй уязвимость вызвана логической ошибкой в коде. В функции извлечения средств проекта есть условное выражение, которое должно было сравнивать прогресс возврата и индекс заявки, но ошибочно сравнивало его с общим количеством заявок. Это привело к тому, что условие никогда не могло быть выполнено, и средства команды проекта навсегда заблокированы в контракте. По сообщениям, в настоящее время заблокированные средства превышают 34 миллиона долларов.
!
Это событие вновь вызвало беспокойство в отрасли по поводу безопасности проектов цифровых коллекционных предметов. Несмотря на то, что в области децентрализованных финансов безопасность аудита стала обычной практикой, в проектах цифровых коллекционных предметов безопасность аудита, похоже, все еще не получает должного внимания. Эксперты призывают команду проекта в процессе разработки составлять достаточное количество тестовых случаев, развивать базовую осведомленность о безопасности и рассмотреть возможность привлечения профессионального аудита безопасности, чтобы избежать огромных потерь, вызванных подобными грубыми ошибками.
Этот инцидент снова напоминает нам о том, что даже известные проекты могут иметь серьезные угрозы безопасности. В быстро развивающейся сфере Web3 безопасность всегда должна быть приоритетом.
!
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
15 Лайков
Награда
15
5
Репост
Поделиться
комментарий
0/400
OfflineNewbie
· 08-11 03:40
Хорошо, что я быстро убежал.
Посмотреть ОригиналОтветить0
SchrödingersNode
· 08-11 03:35
И глупый, и жадный, так ему и надо.
Посмотреть ОригиналОтветить0
SocialFiQueen
· 08-11 03:31
Еще один проект падение до нуля?
Посмотреть ОригиналОтветить0
BlockTalk
· 08-11 03:29
Возврат средств снова задерживается, не удивительно.
В контрактах цифровых коллекционных предметов обнаружены две серьезные уязвимости, 34 миллиона долларов средств заблокированы.
Недавно одна компания по безопасности обнаружила два серьезных уязвимости в контракте цифровых коллекционных предметов, что вызвало широкий интерес в отрасли. Эти два уязвимости могут привести к серьезным последствиям, таким как блокировка активов пользователей и невозможность вывода средств командой проекта.
Первый уязвимость находится в функции возврата средств. Эта функция осуществляет возврат средств всем пользователям в циклическом порядке, но если объект возврата является злонамеренным контрактом, он может отказать в получении, что приведет к сбою транзакции и, следовательно, повлияет на процесс возврата средств для всех пользователей. К счастью, эта уязвимость в настоящее время не была использована.
В связи с подобными ситуациями эксперты отрасли рекомендуют команде проекта при разработке механизма возврата учитывать следующие моменты: ограничить участие только обычными пользовательскими аккаунтами, использовать стабильные токены вместо нативных активов, разработать функцию, позволяющую пользователям самостоятельно запрашивать возврат, а не массовый возврат и т.д.
!
Второй уязвимость вызвана логической ошибкой в коде. В функции извлечения средств проекта есть условное выражение, которое должно было сравнивать прогресс возврата и индекс заявки, но ошибочно сравнивало его с общим количеством заявок. Это привело к тому, что условие никогда не могло быть выполнено, и средства команды проекта навсегда заблокированы в контракте. По сообщениям, в настоящее время заблокированные средства превышают 34 миллиона долларов.
!
Это событие вновь вызвало беспокойство в отрасли по поводу безопасности проектов цифровых коллекционных предметов. Несмотря на то, что в области децентрализованных финансов безопасность аудита стала обычной практикой, в проектах цифровых коллекционных предметов безопасность аудита, похоже, все еще не получает должного внимания. Эксперты призывают команду проекта в процессе разработки составлять достаточное количество тестовых случаев, развивать базовую осведомленность о безопасности и рассмотреть возможность привлечения профессионального аудита безопасности, чтобы избежать огромных потерь, вызванных подобными грубыми ошибками.
Этот инцидент снова напоминает нам о том, что даже известные проекты могут иметь серьезные угрозы безопасности. В быстро развивающейся сфере Web3 безопасность всегда должна быть приоритетом.
!