اكتشفت شركة أمان البلوكتشين مؤخرًا ثغرتين خطيرتين في عقد أحد المقتنيات الرقمية. قد تتسبب هاتان الثغرتان في خسائر كبيرة للمستخدمين وفريق المشروع.
توجد الثغرة الأولى في دالة معالجة رد الأموال. تستخدم هذه الدالة حلقة لرد الأموال لجميع المستخدمين، ولكن إذا كان هناك عقد خبيث، فقد يؤدي ذلك إلى فشل عملية رد الأموال بالكامل. وهذا يعني أنه قد يتم إلغاء معاملات رد الأموال لجميع المستخدمين. ولحسن الحظ، لم يتم استغلال هذه الثغرة فعليًا.
!
لتجنب مشاكل مماثلة، يُنصح فريق المشروع باتخاذ التدابير التالية عند تصميم آلية استرداد الأموال:
تقتصر المشاركة في المشروع على مستخدمي الحسابات الخارجية (EOA) فقط
استخدام رموز ERC20 (مثل WETH) كبديل للأصول الأصلية
تصميم ميزة تتيح للمستخدمين تقديم طلبات استرداد الأموال بأنفسهم، بدلاً من الاسترداد الجماعي
!
الخلل الثاني هو خطأ برمجي حدث في دالة سحب أموال المشروع. بسبب خطأ في كتابة عبارة الشرط، لم يتمكن فريق المشروع من سحب الأموال من العقد. على وجه التحديد، تمت مقارنة متغيرات خاطئة في الدالة، مما جعل الشرط غير قابل للإيفاء إلى الأبد. أدى هذا الخطأ إلى قفل أصول تزيد عن 34 مليون دولار بشكل دائم في العقد.
!
هذه الحادثة كشفت مرة أخرى أن حتى المشاريع المعروفة قد تواجه أخطاء أساسية. إنها تؤكد على أهمية إجراء اختبارات كافية والحفاظ على الوعي بالأمان خلال عملية التطوير. على الرغم من أن تدقيق الأمان قد أصبح ممارسة روتينية في مجال التمويل اللامركزي (DeFi)، يبدو أن هذه الخطوة ما زالت تفتقر إليها مشاريع المقتنيات الرقمية. أدت هذه السهو مباشرة إلى خسائر ضخمة، مما يبرز ضرورة أن تولي مشاريع المقتنيات الرقمية أيضًا أهمية لتدقيق الأمان.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
ثغرة في عقد المقتنيات الرقمية تؤدي إلى قفل 34 مليون دولار. التدقيق الأمني أمر عاجل.
اكتشفت شركة أمان البلوكتشين مؤخرًا ثغرتين خطيرتين في عقد أحد المقتنيات الرقمية. قد تتسبب هاتان الثغرتان في خسائر كبيرة للمستخدمين وفريق المشروع.
توجد الثغرة الأولى في دالة معالجة رد الأموال. تستخدم هذه الدالة حلقة لرد الأموال لجميع المستخدمين، ولكن إذا كان هناك عقد خبيث، فقد يؤدي ذلك إلى فشل عملية رد الأموال بالكامل. وهذا يعني أنه قد يتم إلغاء معاملات رد الأموال لجميع المستخدمين. ولحسن الحظ، لم يتم استغلال هذه الثغرة فعليًا.
!
لتجنب مشاكل مماثلة، يُنصح فريق المشروع باتخاذ التدابير التالية عند تصميم آلية استرداد الأموال:
!
الخلل الثاني هو خطأ برمجي حدث في دالة سحب أموال المشروع. بسبب خطأ في كتابة عبارة الشرط، لم يتمكن فريق المشروع من سحب الأموال من العقد. على وجه التحديد، تمت مقارنة متغيرات خاطئة في الدالة، مما جعل الشرط غير قابل للإيفاء إلى الأبد. أدى هذا الخطأ إلى قفل أصول تزيد عن 34 مليون دولار بشكل دائم في العقد.
!
هذه الحادثة كشفت مرة أخرى أن حتى المشاريع المعروفة قد تواجه أخطاء أساسية. إنها تؤكد على أهمية إجراء اختبارات كافية والحفاظ على الوعي بالأمان خلال عملية التطوير. على الرغم من أن تدقيق الأمان قد أصبح ممارسة روتينية في مجال التمويل اللامركزي (DeFi)، يبدو أن هذه الخطوة ما زالت تفتقر إليها مشاريع المقتنيات الرقمية. أدت هذه السهو مباشرة إلى خسائر ضخمة، مما يبرز ضرورة أن تولي مشاريع المقتنيات الرقمية أيضًا أهمية لتدقيق الأمان.