Недавно компания по безопасности в Блокчейн обнаружила два серьезных уязвимости в контракте цифрового коллекционного предмета. Эти два уязвимости могут нанести значительный ущерб пользователям и команде проекта.
Первый уязвимость существует в функции обработки возвратов. Эта функция использует цикл для возврата средств всем пользователям, но если среди них есть вредоносный контракт, это может привести к сбою всего процесса возврата. Это значит, что все возвратные транзакции пользователей могут быть отменены. К счастью, эта уязвимость не была фактически использована.
!
Чтобы избежать подобных проблем, рекомендуется, чтобы команда проекта приняла следующие меры при разработке механизма возврата средств:
Ограничение: только пользователи внешних аккаунтов (EOA) могут участвовать в проекте
Используйте токены ERC20 (например, WETH) вместо родных активов
Разработайте функцию, которая позволяет пользователям самостоятельно запрашивать возврат, а не массовый возврат.
!
Вторая уязвимость — это ошибка в программе, которая возникла в функции извлечения средств проекта. Из-за неправильной записи условия проверки команда проекта не смогла извлечь средства из контракта. Конкретно, в функции сравнивались неправильные переменные, что делало условие никогда не выполняемым. Эта ошибка привела к тому, что более 34 миллионов долларов активов были навсегда заблокированы в контракте.
!
Этот инцидент снова выявил, что даже у известных проектов могут возникать фундаментальные ошибки. Он подчеркивает важность проведения тщательного тестирования и поддержания осведомленности о безопасности в процессе разработки. Хотя в области децентрализованных финансов (DeFi) безопасность аудита стала обычной практикой, в проектах цифровых коллекционных предметов этот этап, похоже, все еще недостаточно проработан. Эта оплошность напрямую привела к огромным потерям, подчеркивая необходимость уделять внимание безопасности аудита в проектах цифровых коллекционных предметов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Уязвимость контракта цифровых коллекционных предметов привела к блокировке 34 миллионов долларов США. Аудит безопасности не терпит отлагательств.
Недавно компания по безопасности в Блокчейн обнаружила два серьезных уязвимости в контракте цифрового коллекционного предмета. Эти два уязвимости могут нанести значительный ущерб пользователям и команде проекта.
Первый уязвимость существует в функции обработки возвратов. Эта функция использует цикл для возврата средств всем пользователям, но если среди них есть вредоносный контракт, это может привести к сбою всего процесса возврата. Это значит, что все возвратные транзакции пользователей могут быть отменены. К счастью, эта уязвимость не была фактически использована.
!
Чтобы избежать подобных проблем, рекомендуется, чтобы команда проекта приняла следующие меры при разработке механизма возврата средств:
!
Вторая уязвимость — это ошибка в программе, которая возникла в функции извлечения средств проекта. Из-за неправильной записи условия проверки команда проекта не смогла извлечь средства из контракта. Конкретно, в функции сравнивались неправильные переменные, что делало условие никогда не выполняемым. Эта ошибка привела к тому, что более 34 миллионов долларов активов были навсегда заблокированы в контракте.
!
Этот инцидент снова выявил, что даже у известных проектов могут возникать фундаментальные ошибки. Он подчеркивает важность проведения тщательного тестирования и поддержания осведомленности о безопасности в процессе разработки. Хотя в области децентрализованных финансов (DeFi) безопасность аудита стала обычной практикой, в проектах цифровых коллекционных предметов этот этап, похоже, все еще недостаточно проработан. Эта оплошность напрямую привела к огромным потерям, подчеркивая необходимость уделять внимание безопасности аудита в проектах цифровых коллекционных предметов.