Son günlerde, bir güvenlik şirketi belirli bir dijital koleksiyon sözleşmesinde iki ciddi güvenlik açığı tespit etti ve bu durum sektörde geniş bir ilgi uyandırdı. Bu iki açık, kullanıcı varlıklarının kilitlenmesine ve Proje Ekibi fonlarının çekilememesine neden olabilecek ciddi sonuçlar doğurabilir.
İlk açık, geri ödeme fonksiyonunda bulunmaktadır. Bu fonksiyon, tüm kullanıcılar için geri ödeme yapmak amacıyla döngüsel bir yöntem kullanmaktadır, ancak eğer geri ödeme nesnesi kötü niyetli bir sözleşme ise, kabul etmeyi reddedebilir ve bu da işlemin başarısız olmasına yol açarak tüm kullanıcıların geri ödeme sürecini etkileyebilir. Neyse ki, bu açık şu anda kullanılmamaktadır.
Bu tür durumlar için, sektör uzmanları Proje Ekibi'nin geri ödeme mekanizmasını tasarlarken aşağıdaki noktaları dikkate almasını önermektedir: katılımcıları sadece normal kullanıcı hesaplarıyla sınırlamak, yerel varlıklar yerine istikrarlı tokenler kullanmak, toplu geri ödeme yerine kullanıcıların aktif olarak geri ödemeyi talep etme işlevini tasarlamak gibi.
İkinci açık, kod içindeki bir karşılaştırma mantık hatasından kaynaklanmaktadır. Proje fonlarını çekme işlevinde, bir koşul kontrol ifadesi bulunmaktadır; geri ödeme süresi ile teklif dizinini karşılaştırmak yerine, toplam teklif sayısıyla yanlış bir şekilde karşılaştırılmıştır. Bu, koşulun asla sağlanamamasına neden olmuş ve proje ekibinin fonları böylece sözleşmede kalıcı olarak kilitlenmiştir. Edinilen bilgilere göre, şu anda kilitlenen fonlar 34 milyon doları aşmıştır.
Bu olay, dijital koleksiyon projelerinin güvenliği konusunda sektörde yeniden endişelere yol açtı. Merkeziyetsiz finans alanında, güvenlik denetimi standart bir uygulama haline gelmiş olsa da, dijital koleksiyon projelerinde güvenlik denetimi yeterince önemsenmiyor gibi görünüyor. Uzmanlar, proje ekibinin geliştirme sürecinde yeterli test senaryoları yazması, temel güvenlik bilincini geliştirmesi ve benzeri basit hataların büyük kayıplara yol açmasını önlemek için profesyonel güvenlik denetimlerini düşünmesi gerektiğini vurguluyor.
Bu olay bize bir kez daha hatırlatıyor ki, tanınmış projeler bile ciddi güvenlik açıklarına sahip olabilir. Hızla gelişen Web3 alanında, güvenlik her zaman öncelikli bir faktör olmalıdır.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Dijital koleksiyon sözleşmesinde iki büyük güvenlik açığı var, 34 milyon dolar fon kilitlendi.
Son günlerde, bir güvenlik şirketi belirli bir dijital koleksiyon sözleşmesinde iki ciddi güvenlik açığı tespit etti ve bu durum sektörde geniş bir ilgi uyandırdı. Bu iki açık, kullanıcı varlıklarının kilitlenmesine ve Proje Ekibi fonlarının çekilememesine neden olabilecek ciddi sonuçlar doğurabilir.
İlk açık, geri ödeme fonksiyonunda bulunmaktadır. Bu fonksiyon, tüm kullanıcılar için geri ödeme yapmak amacıyla döngüsel bir yöntem kullanmaktadır, ancak eğer geri ödeme nesnesi kötü niyetli bir sözleşme ise, kabul etmeyi reddedebilir ve bu da işlemin başarısız olmasına yol açarak tüm kullanıcıların geri ödeme sürecini etkileyebilir. Neyse ki, bu açık şu anda kullanılmamaktadır.
Bu tür durumlar için, sektör uzmanları Proje Ekibi'nin geri ödeme mekanizmasını tasarlarken aşağıdaki noktaları dikkate almasını önermektedir: katılımcıları sadece normal kullanıcı hesaplarıyla sınırlamak, yerel varlıklar yerine istikrarlı tokenler kullanmak, toplu geri ödeme yerine kullanıcıların aktif olarak geri ödemeyi talep etme işlevini tasarlamak gibi.
İkinci açık, kod içindeki bir karşılaştırma mantık hatasından kaynaklanmaktadır. Proje fonlarını çekme işlevinde, bir koşul kontrol ifadesi bulunmaktadır; geri ödeme süresi ile teklif dizinini karşılaştırmak yerine, toplam teklif sayısıyla yanlış bir şekilde karşılaştırılmıştır. Bu, koşulun asla sağlanamamasına neden olmuş ve proje ekibinin fonları böylece sözleşmede kalıcı olarak kilitlenmiştir. Edinilen bilgilere göre, şu anda kilitlenen fonlar 34 milyon doları aşmıştır.
Bu olay, dijital koleksiyon projelerinin güvenliği konusunda sektörde yeniden endişelere yol açtı. Merkeziyetsiz finans alanında, güvenlik denetimi standart bir uygulama haline gelmiş olsa da, dijital koleksiyon projelerinde güvenlik denetimi yeterince önemsenmiyor gibi görünüyor. Uzmanlar, proje ekibinin geliştirme sürecinde yeterli test senaryoları yazması, temel güvenlik bilincini geliştirmesi ve benzeri basit hataların büyük kayıplara yol açmasını önlemek için profesyonel güvenlik denetimlerini düşünmesi gerektiğini vurguluyor.
Bu olay bize bir kez daha hatırlatıyor ki, tanınmış projeler bile ciddi güvenlik açıklarına sahip olabilir. Hızla gelişen Web3 alanında, güvenlik her zaman öncelikli bir faktör olmalıdır.