BlockSec baru-baru ini menemukan bahwa kontrak koleksi digital tertentu memiliki dua kerentanan serius, yang menarik perhatian industri. Kerentanan pertama dapat mengakibatkan kontrak mengalami denial-of-service attack, dengan risiko aset pengguna terkunci; kerentanan kedua dapat menyebabkan pihak proyek kehilangan lebih dari 34 juta dolar aset yang terjebak secara permanen dalam kontrak.
Vulnerability pertama terletak pada fungsi penanganan pengembalian dana. Fungsi ini mengembalikan dana untuk semua pengguna melalui loop, tetapi jika objek pengembalian dana adalah kontrak jahat, mungkin menolak penerimaan dan membatalkan transaksi, yang menyebabkan seluruh proses pengembalian dana terputus. Untungnya, kerentanan ini tidak pernah dieksploitasi.
Mengenai situasi semacam ini, para ahli keamanan menyarankan agar pihak proyek dapat mengambil langkah-langkah berikut untuk meningkatkan keamanan mekanisme pengembalian dana:
Pembatasan hanya akun pengguna individu yang dapat berpartisipasi dalam proyek
Menggunakan token ERC20 dan alternatif aset asli lainnya
Rancang fitur untuk pengguna mengambil pengembalian dana secara aktif, hindari pengembalian dana massal
Kekurangan kedua berasal dari kesalahan pemrograman. Dalam fungsi untuk menarik dana proyek, ada pernyataan kondisi yang salah. Pernyataan ini seharusnya membandingkan kemajuan pengembalian dana dengan indeks tawaran, tetapi salah membandingkannya dengan total jumlah tawaran. Karena kemajuan pengembalian dana selalu lebih kecil dari total jumlah tawaran dan tidak lagi meningkat, kondisi tersebut tidak pernah terpenuhi, sehingga dana proyek terkunci secara permanen dalam kontrak.
Kesalahan ini menyebabkan lebih dari 34 juta dolar aset saat ini terjebak dalam kontrak dan tidak dapat ditarik.
Para ahli keamanan menyatakan, yang mengejutkan adalah, setelah insiden kerentanan verifikasi tanda tangan koleksi digital NBA, sebuah proyek terkenal lainnya muncul dengan kesalahan yang sangat mendasar. Mereka menekankan bahwa selama proses pengembangan proyek, perlu untuk menulis cukup kasus uji dan memiliki kesadaran keamanan dasar. Meskipun di bidang keuangan terdesentralisasi, audit keamanan telah menjadi praktik umum, namun dalam proyek koleksi digital, audit keamanan masih kurang, dan kelalaian ini secara langsung mengakibatkan kerugian besar.
Peristiwa ini sekali lagi menyoroti pentingnya audit keamanan proyek blockchain, menyerukan industri untuk memperkuat pemeriksaan keamanan kontrak koleksi digital, untuk mencegah terulangnya peristiwa serupa.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
8 Suka
Hadiah
8
4
Bagikan
Komentar
0/400
LidoStakeAddict
· 19jam yang lalu
Kontrak gg semua beri saya
Lihat AsliBalas0
LiquidationKing
· 07-25 03:43
又一个NFT turun ke nol
Lihat AsliBalas0
TopBuyerBottomSeller
· 07-25 03:42
Kontrak lagi meledak, klasik menciptakan suckers.
Lihat AsliBalas0
PanicSeller
· 07-25 03:32
Lagi-lagi dapat untung besar ya, pasti tidak ada uang untuk dikembalikan.
Kontrak koleksi digital ditemukan memiliki dua celah keamanan, aset senilai 34 juta dolar AS terkunci permanen.
BlockSec baru-baru ini menemukan bahwa kontrak koleksi digital tertentu memiliki dua kerentanan serius, yang menarik perhatian industri. Kerentanan pertama dapat mengakibatkan kontrak mengalami denial-of-service attack, dengan risiko aset pengguna terkunci; kerentanan kedua dapat menyebabkan pihak proyek kehilangan lebih dari 34 juta dolar aset yang terjebak secara permanen dalam kontrak.
Vulnerability pertama terletak pada fungsi penanganan pengembalian dana. Fungsi ini mengembalikan dana untuk semua pengguna melalui loop, tetapi jika objek pengembalian dana adalah kontrak jahat, mungkin menolak penerimaan dan membatalkan transaksi, yang menyebabkan seluruh proses pengembalian dana terputus. Untungnya, kerentanan ini tidak pernah dieksploitasi.
Mengenai situasi semacam ini, para ahli keamanan menyarankan agar pihak proyek dapat mengambil langkah-langkah berikut untuk meningkatkan keamanan mekanisme pengembalian dana:
Kekurangan kedua berasal dari kesalahan pemrograman. Dalam fungsi untuk menarik dana proyek, ada pernyataan kondisi yang salah. Pernyataan ini seharusnya membandingkan kemajuan pengembalian dana dengan indeks tawaran, tetapi salah membandingkannya dengan total jumlah tawaran. Karena kemajuan pengembalian dana selalu lebih kecil dari total jumlah tawaran dan tidak lagi meningkat, kondisi tersebut tidak pernah terpenuhi, sehingga dana proyek terkunci secara permanen dalam kontrak.
Kesalahan ini menyebabkan lebih dari 34 juta dolar aset saat ini terjebak dalam kontrak dan tidak dapat ditarik.
Para ahli keamanan menyatakan, yang mengejutkan adalah, setelah insiden kerentanan verifikasi tanda tangan koleksi digital NBA, sebuah proyek terkenal lainnya muncul dengan kesalahan yang sangat mendasar. Mereka menekankan bahwa selama proses pengembangan proyek, perlu untuk menulis cukup kasus uji dan memiliki kesadaran keamanan dasar. Meskipun di bidang keuangan terdesentralisasi, audit keamanan telah menjadi praktik umum, namun dalam proyek koleksi digital, audit keamanan masih kurang, dan kelalaian ini secara langsung mengakibatkan kerugian besar.
Peristiwa ini sekali lagi menyoroti pentingnya audit keamanan proyek blockchain, menyerukan industri untuk memperkuat pemeriksaan keamanan kontrak koleksi digital, untuk mencegah terulangnya peristiwa serupa.