Gần đây, một công ty an ninh đã phát hiện ra hai lỗ hổng nghiêm trọng trong hợp đồng của một bộ sưu tập kỹ thuật số, gây ra sự quan tâm rộng rãi trong ngành. Hai lỗ hổng này có thể dẫn đến hậu quả nghiêm trọng là tài sản của người dùng bị khóa và vốn của bên dự án không thể rút ra.
Lỗ hổng đầu tiên tồn tại trong hàm hoàn tiền. Hàm này thực hiện hoàn tiền cho tất cả người dùng theo cách lặp, nhưng nếu đối tượng hoàn tiền là hợp đồng độc hại, nó có thể từ chối nhận và dẫn đến việc giao dịch thất bại, từ đó ảnh hưởng đến tiến trình hoàn tiền của tất cả người dùng. May mắn thay, lỗ hổng này hiện chưa bị khai thác.
Đối với tình huống như vậy, các chuyên gia trong ngành khuyên bên dự án khi thiết kế cơ chế hoàn tiền nên xem xét các điểm sau: giới hạn người tham gia chỉ là tài khoản người dùng thông thường, sử dụng stablecoin thay vì tài sản gốc, thiết kế chức năng người dùng chủ động nhận hoàn tiền thay vì hoàn tiền hàng loạt, v.v.
Lỗ hổng thứ hai là do một lỗi logic so sánh trong mã. Trong hàm rút tiền của dự án, có một câu lệnh điều kiện, lẽ ra nên so sánh tiến độ hoàn tiền và chỉ số thầu, nhưng lại so sánh sai với tổng số thầu. Điều này dẫn đến điều kiện không bao giờ được đáp ứng, và vì vậy, vốn của bên dự án bị khóa vĩnh viễn trong hợp đồng. Theo thông tin, hiện tại số tiền bị khóa đã vượt quá 34 triệu USD.
Sự kiện này lại dấy lên lo ngại trong ngành về tính an toàn của các dự án sưu tập kỹ thuật số. Mặc dù trong lĩnh vực tài chính phi tập trung, việc kiểm toán an toàn đã trở thành một thực tiễn thông thường, nhưng trong các dự án sưu tập kỹ thuật số, việc kiểm toán an toàn dường như vẫn chưa được chú trọng đủ. Các chuyên gia kêu gọi, Bên dự án trong quá trình phát triển nên viết đầy đủ các trường hợp kiểm tra, nuôi dưỡng nhận thức cơ bản về an toàn và xem xét việc đưa vào kiểm toán an toàn chuyên nghiệp, nhằm tránh những tổn thất lớn do những sai sót cơ bản gây ra.
Sự kiện này cũng một lần nữa nhắc nhở chúng ta rằng, ngay cả những dự án nổi tiếng cũng có thể tồn tại những rủi ro an ninh nghiêm trọng. Trong lĩnh vực Web3 đang phát triển nhanh chóng, an ninh luôn nên là yếu tố được xem xét hàng đầu.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Hợp đồng sản phẩm số hiện có hai lỗ hổng nghiêm trọng, 34 triệu đô la Mỹ bị khóa.
Gần đây, một công ty an ninh đã phát hiện ra hai lỗ hổng nghiêm trọng trong hợp đồng của một bộ sưu tập kỹ thuật số, gây ra sự quan tâm rộng rãi trong ngành. Hai lỗ hổng này có thể dẫn đến hậu quả nghiêm trọng là tài sản của người dùng bị khóa và vốn của bên dự án không thể rút ra.
Lỗ hổng đầu tiên tồn tại trong hàm hoàn tiền. Hàm này thực hiện hoàn tiền cho tất cả người dùng theo cách lặp, nhưng nếu đối tượng hoàn tiền là hợp đồng độc hại, nó có thể từ chối nhận và dẫn đến việc giao dịch thất bại, từ đó ảnh hưởng đến tiến trình hoàn tiền của tất cả người dùng. May mắn thay, lỗ hổng này hiện chưa bị khai thác.
Đối với tình huống như vậy, các chuyên gia trong ngành khuyên bên dự án khi thiết kế cơ chế hoàn tiền nên xem xét các điểm sau: giới hạn người tham gia chỉ là tài khoản người dùng thông thường, sử dụng stablecoin thay vì tài sản gốc, thiết kế chức năng người dùng chủ động nhận hoàn tiền thay vì hoàn tiền hàng loạt, v.v.
Lỗ hổng thứ hai là do một lỗi logic so sánh trong mã. Trong hàm rút tiền của dự án, có một câu lệnh điều kiện, lẽ ra nên so sánh tiến độ hoàn tiền và chỉ số thầu, nhưng lại so sánh sai với tổng số thầu. Điều này dẫn đến điều kiện không bao giờ được đáp ứng, và vì vậy, vốn của bên dự án bị khóa vĩnh viễn trong hợp đồng. Theo thông tin, hiện tại số tiền bị khóa đã vượt quá 34 triệu USD.
Sự kiện này lại dấy lên lo ngại trong ngành về tính an toàn của các dự án sưu tập kỹ thuật số. Mặc dù trong lĩnh vực tài chính phi tập trung, việc kiểm toán an toàn đã trở thành một thực tiễn thông thường, nhưng trong các dự án sưu tập kỹ thuật số, việc kiểm toán an toàn dường như vẫn chưa được chú trọng đủ. Các chuyên gia kêu gọi, Bên dự án trong quá trình phát triển nên viết đầy đủ các trường hợp kiểm tra, nuôi dưỡng nhận thức cơ bản về an toàn và xem xét việc đưa vào kiểm toán an toàn chuyên nghiệp, nhằm tránh những tổn thất lớn do những sai sót cơ bản gây ra.
Sự kiện này cũng một lần nữa nhắc nhở chúng ta rằng, ngay cả những dự án nổi tiếng cũng có thể tồn tại những rủi ro an ninh nghiêm trọng. Trong lĩnh vực Web3 đang phát triển nhanh chóng, an ninh luôn nên là yếu tố được xem xét hàng đầu.