Нещодавно одна з безпекових компаній виявила два серйозних уразливості в контракті цифрових колекцій, що викликало широкий інтерес у галузі. Ці два уразливості можуть призвести до серйозних наслідків, зокрема до блокування активів користувача та неможливості виведення коштів вечірка проєкту.
Перший вразливість існує у функції повернення коштів. Ця функція здійснює повернення коштів для всіх користувачів за допомогою циклу, але якщо об'єкт повернення є шкідливим контрактом, він може відмовитися від прийому і призвести до збою транзакції, що, в свою чергу, вплине на процес повернення коштів для всіх користувачів. На щастя, ця вразливість наразі не була використана.
Щодо таких ситуацій, експерти галузі рекомендують вечірка проєкту при розробці механізму повернення коштів врахувати такі моменти: обмежити учасників лише звичайними користувацькими рахунками, використовувати стабільні токени замість рідних активів, розробити функцію активного отримання повернення коштів користувачем, а не масове повернення тощо.
!
Другий недолік виникає через логічну помилку в коді. У функції витягнення коштів проєкту є умовний оператор, який мав порівнювати прогрес повернення коштів і індекс ставки, але помилково порівнює з загальною кількістю ставок. Це призводить до того, що умова ніколи не виконується, і кошти вечірки проєкту внаслідок цього назавжди заморожені в контракті. За інформацією, наразі заморожені кошти перевищують 34 мільйони доларів.
!
Ця подія знову викликала занепокоєння в галузі щодо безпеки проєктів цифрових колекцій. Хоча в сфері децентралізованих фінансів безпековий аудит став звичайною практикою, але в проєктах цифрових колекцій безпековий аудит, здається, все ще не отримав достатньої уваги. Експерти закликають, щоб вечірка проєкту під час розробки писала достатню кількість тестових випадків, розвивала базову обізнаність про безпеку та розглянула можливість залучення професійного безпекового аудиту, щоб уникнути подібних елементарних помилок, які можуть призвести до величезних втрат.
Ця подія також ще раз нагадує нам, що навіть відомі проєкти можуть мати серйозні проблеми з безпекою. У швидко розвиваючійся сфері Web3 безпека завжди повинна бути першочерговим фактором.
!
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
У контракті цифрових колекцій виявлено дві суттєві вразливості, 34 мільйони доларів фінансів заблоковані.
Нещодавно одна з безпекових компаній виявила два серйозних уразливості в контракті цифрових колекцій, що викликало широкий інтерес у галузі. Ці два уразливості можуть призвести до серйозних наслідків, зокрема до блокування активів користувача та неможливості виведення коштів вечірка проєкту.
Перший вразливість існує у функції повернення коштів. Ця функція здійснює повернення коштів для всіх користувачів за допомогою циклу, але якщо об'єкт повернення є шкідливим контрактом, він може відмовитися від прийому і призвести до збою транзакції, що, в свою чергу, вплине на процес повернення коштів для всіх користувачів. На щастя, ця вразливість наразі не була використана.
Щодо таких ситуацій, експерти галузі рекомендують вечірка проєкту при розробці механізму повернення коштів врахувати такі моменти: обмежити учасників лише звичайними користувацькими рахунками, використовувати стабільні токени замість рідних активів, розробити функцію активного отримання повернення коштів користувачем, а не масове повернення тощо.
!
Другий недолік виникає через логічну помилку в коді. У функції витягнення коштів проєкту є умовний оператор, який мав порівнювати прогрес повернення коштів і індекс ставки, але помилково порівнює з загальною кількістю ставок. Це призводить до того, що умова ніколи не виконується, і кошти вечірки проєкту внаслідок цього назавжди заморожені в контракті. За інформацією, наразі заморожені кошти перевищують 34 мільйони доларів.
!
Ця подія знову викликала занепокоєння в галузі щодо безпеки проєктів цифрових колекцій. Хоча в сфері децентралізованих фінансів безпековий аудит став звичайною практикою, але в проєктах цифрових колекцій безпековий аудит, здається, все ще не отримав достатньої уваги. Експерти закликають, щоб вечірка проєкту під час розробки писала достатню кількість тестових випадків, розвивала базову обізнаність про безпеку та розглянула можливість залучення професійного безпекового аудиту, щоб уникнути подібних елементарних помилок, які можуть призвести до величезних втрат.
Ця подія також ще раз нагадує нам, що навіть відомі проєкти можуть мати серйозні проблеми з безпекою. У швидко розвиваючійся сфері Web3 безпека завжди повинна бути першочерговим фактором.
!