اكتشفت BlockSec مؤخراً وجود ثغرتين خطيرتين في عقد رقمي، مما أثار اهتمام الصناعة. قد تؤدي الثغرة الأولى إلى تعرض العقد لهجوم حجب الخدمة، مما يعرض أصول المستخدمين لخطر القفل؛ بينما قد تؤدي الثغرة الثانية إلى احتجاز أكثر من 34 مليون دولار من أصول المشروع بشكل دائم في العقد وعدم القدرة على سحبها.
!
توجد الثغرة الأولى في دالة معالجة الاسترداد. تقوم هذه الدالة باسترداد الأموال لجميع المستخدمين عبر حلقة، ولكن إذا كان كائن الاسترداد عقدًا خبيثًا، فقد يرفض استلامه ويقوم بالتراجع عن الصفقة، مما يؤدي إلى انقطاع العملية بأكملها. لحسن الحظ، لم يتم استغلال هذه الثغرة فعليًا.
في مثل هذه الحالات، يوصي الخبراء الأمنيون بأن تتخذ الجهات المشروعة التدابير التالية لتعزيز أمان آلية استرداد الأموال:
تقتصر المشاركة في المشروع على حسابات المستخدمين الأفراد فقط
استخدام رموز ERC20 كبديل للأصول الأصلية
تصميم ميزة للمستخدم لاسترداد الأموال بشكل نشط، لتجنب الاسترداد الجماعي
!
الثغرة الثانية ناتجة عن خطأ في البرمجة. في دالة استخراج أموال المشروع، كان هناك عبارة شرطية بها خطأ. كان من المفترض أن تقارن هذه العبارة تقدم الاسترداد مع فهرس العطاء، لكنها قورنت بشكل خاطئ مع العدد الإجمالي للعطاءات. نظرًا لأن تقدم الاسترداد يكون دائمًا أقل من العدد الإجمالي للعطاءات ولا يزداد، فإن الشرط لا يمكن أن يتحقق أبدًا، وبالتالي تم قفل أموال المشروع بشكل دائم في العقد.
هذا الخطأ تسبب في احتجاز أصول تزيد قيمتها عن 34 مليون دولار أمريكي حاليًا في العقد ولا يمكن سحبها.
قال خبراء الأمن إنه من المدهش أنه بعد حادثة ثغرة التحقق من التوقيعات في مقتنيات NBA الرقمية، ظهر مشروع معروف آخر بخطأ بهذا المستوى المنخفض. وأكدوا أن عملية تطوير المشروع تحتاج إلى كتابة مجموعة كافية من حالات الاختبار ويجب أن تكون هناك وعي أمني أساسي. على الرغم من أن تدقيق الأمان أصبح ممارسة روتينية في مجال التمويل اللامركزي، إلا أن تدقيق الأمان لا يزال غير كافٍ في مشاريع المقتنيات الرقمية، وهذا الإهمال أدى مباشرة إلى خسائر ضخمة.
تسلط هذه الحادثة الضوء مرة أخرى على أهمية تدقيق أمان مشاريع البلوكشين، وتدعو الصناعة إلى تعزيز الفحص الأمني لعقود المقتنيات الرقمية، لمنع حدوث حوادث مماثلة مرة أخرى.
!
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 11
أعجبني
11
5
مشاركة
تعليق
0/400
TokenomicsTinfoilHat
· منذ 14 س
مرة أخرى، أصبحت الديون أكبر من الأصول
شاهد النسخة الأصليةرد0
LidoStakeAddict
· 07-26 12:54
عقد gg جميعهم أعطوني
شاهد النسخة الأصليةرد0
LiquidationKing
· 07-25 03:43
مرة أخرى NFT انخفاض إلى الصفر
شاهد النسخة الأصليةرد0
TopBuyerBottomSeller
· 07-25 03:42
العقد قد انفجر مرة أخرى، تصنيع حمقى الكلاسيكية
شاهد النسخة الأصليةرد0
PanicSeller
· 07-25 03:32
لقد كسبت الكثير مرة أخرى، بالتأكيد ليس لديك أموال لتستردها، أليس كذلك؟
ظهور ثغرتين مزدوجتين في عقد المحتوى الرقمي، مما أدى إلى حجز أصول بقيمة 34 مليون دولار بشكل دائم
اكتشفت BlockSec مؤخراً وجود ثغرتين خطيرتين في عقد رقمي، مما أثار اهتمام الصناعة. قد تؤدي الثغرة الأولى إلى تعرض العقد لهجوم حجب الخدمة، مما يعرض أصول المستخدمين لخطر القفل؛ بينما قد تؤدي الثغرة الثانية إلى احتجاز أكثر من 34 مليون دولار من أصول المشروع بشكل دائم في العقد وعدم القدرة على سحبها.
!
توجد الثغرة الأولى في دالة معالجة الاسترداد. تقوم هذه الدالة باسترداد الأموال لجميع المستخدمين عبر حلقة، ولكن إذا كان كائن الاسترداد عقدًا خبيثًا، فقد يرفض استلامه ويقوم بالتراجع عن الصفقة، مما يؤدي إلى انقطاع العملية بأكملها. لحسن الحظ، لم يتم استغلال هذه الثغرة فعليًا.
في مثل هذه الحالات، يوصي الخبراء الأمنيون بأن تتخذ الجهات المشروعة التدابير التالية لتعزيز أمان آلية استرداد الأموال:
!
الثغرة الثانية ناتجة عن خطأ في البرمجة. في دالة استخراج أموال المشروع، كان هناك عبارة شرطية بها خطأ. كان من المفترض أن تقارن هذه العبارة تقدم الاسترداد مع فهرس العطاء، لكنها قورنت بشكل خاطئ مع العدد الإجمالي للعطاءات. نظرًا لأن تقدم الاسترداد يكون دائمًا أقل من العدد الإجمالي للعطاءات ولا يزداد، فإن الشرط لا يمكن أن يتحقق أبدًا، وبالتالي تم قفل أموال المشروع بشكل دائم في العقد.
هذا الخطأ تسبب في احتجاز أصول تزيد قيمتها عن 34 مليون دولار أمريكي حاليًا في العقد ولا يمكن سحبها.
قال خبراء الأمن إنه من المدهش أنه بعد حادثة ثغرة التحقق من التوقيعات في مقتنيات NBA الرقمية، ظهر مشروع معروف آخر بخطأ بهذا المستوى المنخفض. وأكدوا أن عملية تطوير المشروع تحتاج إلى كتابة مجموعة كافية من حالات الاختبار ويجب أن تكون هناك وعي أمني أساسي. على الرغم من أن تدقيق الأمان أصبح ممارسة روتينية في مجال التمويل اللامركزي، إلا أن تدقيق الأمان لا يزال غير كافٍ في مشاريع المقتنيات الرقمية، وهذا الإهمال أدى مباشرة إلى خسائر ضخمة.
تسلط هذه الحادثة الضوء مرة أخرى على أهمية تدقيق أمان مشاريع البلوكشين، وتدعو الصناعة إلى تعزيز الفحص الأمني لعقود المقتنيات الرقمية، لمنع حدوث حوادث مماثلة مرة أخرى.
!