BlockSec, son günlerde bir dijital koleksiyon sözleşmesinde iki ciddi güvenlik açığı keşfetti ve bu durum sektörde takibin artmasına neden oldu. İlk açık, sözleşmenin hizmet reddi saldırısına maruz kalmasına yol açabilir ve kullanıcı varlıkları kilitlenme riskiyle karşı karşıya kalabilir; ikinci açık ise projenin 34 milyon dolardan fazla varlığının sözleşmede kalıcı olarak tutulmasına ve geri alınamamasına neden olabilir.
İlk açık, geri ödeme işleme fonksiyonunda bulunuyor. Bu fonksiyon, tüm kullanıcılar için geri ödeme yapmak üzere döngü ile çalışıyor, ancak eğer geri ödeme nesnesi kötü niyetli bir sözleşme ise, kabul etmeyebilir ve işlemi geri alabilir, bu da tüm geri ödeme sürecinin kesilmesine yol açar. Neyse ki bu açık gerçek anlamda kullanılmadı.
Bu tür durumlar için güvenlik uzmanları, proje ekiplerinin geri ödeme mekanizmasının güvenliğini artırmak için aşağıdaki önlemleri almasını önermektedir:
Sadece bireysel kullanıcı hesaplarının projeye katılmasına izin verilir.
Yerel varlıklar yerine ERC20 tokenleri gibi alternatif varlıklar kullanın.
Kullanıcıların geri ödemeleri aktif olarak talep etmelerini sağlayacak bir özellik tasarlayın, toplu geri ödemeleri önleyin.
İkinci açık bir programlama hatasından kaynaklanıyor. Proje fonlarını çekme fonksiyonunda, bir koşul ifadesi hatalı. Bu ifade, geri ödeme ilerlemesini teklif indeksine karşılaştırmak yerine toplam teklif sayısıyla karşılaştırılmalıydı. Geri ödeme ilerlemesi her zaman toplam teklif sayısından küçük olduğu ve bir daha artmadığı için, koşul asla sağlanamaz ve proje fonları bu nedenle sözleşmede kalıcı olarak kilitlenir.
Bu hata, 34 milyon dolardan fazla varlığın şu anda sözleşmede kilitlenmesine ve çekilememesine neden oldu.
Güvenlik uzmanları, NBA dijital koleksiyon ürünleri imza doğrulama açığı olayının ardından, başka bir tanınmış projede böyle basit bir hatanın ortaya çıkmasının şaşırtıcı olduğunu belirtiyor. Proje geliştirme sürecinde yeterli test senaryolarının yazılması ve temel güvenlik bilincinin oluşturulması gerektiğini vurguluyorlar. Merkeziyetsiz finans alanında güvenlik denetimleri rutin bir uygulama haline gelirken, dijital koleksiyon projelerinde güvenlik denetimlerinin hala yetersiz olduğu, bu ihmalin büyük kayıplara doğrudan yol açtığı ifade ediliyor.
Bu olay, blockchain projelerinin güvenlik denetiminin önemini bir kez daha vurguladı ve sektörde dijital koleksiyon sözleşmelerinin güvenlik kontrollerinin güçlendirilmesi çağrısında bulundu, benzer olayların tekrar yaşanmaması için.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
11 Likes
Reward
11
5
Share
Comment
0/400
TokenomicsTinfoilHat
· 16h ago
Yine gitti, sermayesi borcunu karşılamıyor.
View OriginalReply0
LidoStakeAddict
· 07-26 12:54
Sözleşme gg hepsini bana ver
View OriginalReply0
LiquidationKing
· 07-25 03:43
Bir başka NFT sıfıra düşme
View OriginalReply0
TopBuyerBottomSeller
· 07-25 03:42
Sözleşme yine patladı, klasik enayiler üretimi.
View OriginalReply0
PanicSeller
· 07-25 03:32
Yine büyük kazanç sağladınız, kesinlikle geri ödeme yoktur.
Dijital koleksiyon sözleşmesinde çifte açık keşfedildi, 34 milyon dolarlık varlık kalıcı olarak kilitlendi.
BlockSec, son günlerde bir dijital koleksiyon sözleşmesinde iki ciddi güvenlik açığı keşfetti ve bu durum sektörde takibin artmasına neden oldu. İlk açık, sözleşmenin hizmet reddi saldırısına maruz kalmasına yol açabilir ve kullanıcı varlıkları kilitlenme riskiyle karşı karşıya kalabilir; ikinci açık ise projenin 34 milyon dolardan fazla varlığının sözleşmede kalıcı olarak tutulmasına ve geri alınamamasına neden olabilir.
İlk açık, geri ödeme işleme fonksiyonunda bulunuyor. Bu fonksiyon, tüm kullanıcılar için geri ödeme yapmak üzere döngü ile çalışıyor, ancak eğer geri ödeme nesnesi kötü niyetli bir sözleşme ise, kabul etmeyebilir ve işlemi geri alabilir, bu da tüm geri ödeme sürecinin kesilmesine yol açar. Neyse ki bu açık gerçek anlamda kullanılmadı.
Bu tür durumlar için güvenlik uzmanları, proje ekiplerinin geri ödeme mekanizmasının güvenliğini artırmak için aşağıdaki önlemleri almasını önermektedir:
İkinci açık bir programlama hatasından kaynaklanıyor. Proje fonlarını çekme fonksiyonunda, bir koşul ifadesi hatalı. Bu ifade, geri ödeme ilerlemesini teklif indeksine karşılaştırmak yerine toplam teklif sayısıyla karşılaştırılmalıydı. Geri ödeme ilerlemesi her zaman toplam teklif sayısından küçük olduğu ve bir daha artmadığı için, koşul asla sağlanamaz ve proje fonları bu nedenle sözleşmede kalıcı olarak kilitlenir.
Bu hata, 34 milyon dolardan fazla varlığın şu anda sözleşmede kilitlenmesine ve çekilememesine neden oldu.
Güvenlik uzmanları, NBA dijital koleksiyon ürünleri imza doğrulama açığı olayının ardından, başka bir tanınmış projede böyle basit bir hatanın ortaya çıkmasının şaşırtıcı olduğunu belirtiyor. Proje geliştirme sürecinde yeterli test senaryolarının yazılması ve temel güvenlik bilincinin oluşturulması gerektiğini vurguluyorlar. Merkeziyetsiz finans alanında güvenlik denetimleri rutin bir uygulama haline gelirken, dijital koleksiyon projelerinde güvenlik denetimlerinin hala yetersiz olduğu, bu ihmalin büyük kayıplara doğrudan yol açtığı ifade ediliyor.
Bu olay, blockchain projelerinin güvenlik denetiminin önemini bir kez daha vurguladı ve sektörde dijital koleksiyon sözleşmelerinin güvenlik kontrollerinin güçlendirilmesi çağrısında bulundu, benzer olayların tekrar yaşanmaması için.