BlockSec нещодавно виявила два серйозні вразливості в контракті цифрових колекцій, що викликало увагу в галузі. Перша вразливість може призвести до атаки на відмову в обслуговуванні, що ставить під загрозу активи користувачів, які можуть бути заблоковані; друга вразливість може призвести до того, що активи проекту на суму понад 34 мільйони доларів постійно залишаться в контракті і не можуть бути вилучені.
!
Перший вразливість знаходиться в функції обробки повернень. Ця функція циклічно повертає гроші всім користувачам, але якщо об'єкт повернення є шкідливим контрактом, він може відмовитися приймати і скасувати транзакцію, що призводить до переривання всього процесу повернення. На щастя, ця вразливість не була фактично використана.
Щодо таких ситуацій, експерти з безпеки радять сторонам проекту вжити такі заходи для посилення безпеки механізму повернення коштів:
Обмеження, що лише особисті рахунки користувачів можуть брати участь у проекті
Використання замінних активів, таких як токени ERC20, замість рідних активів
Розробити функцію для активного отримання повернень користувачами, щоб уникнути масових повернень
!
Другий вразливість виникає через програмну помилку. У функції вилучення коштів проекту є помилковий умовний оператор. Цей оператор повинен порівнювати прогрес повернення коштів з індексом ставки, але помилково порівнюється з загальною кількістю ставок. Оскільки прогрес повернення коштів завжди менший за загальну кількість ставок і більше не зростає, умова ніколи не може бути виконана, внаслідок чого кошти проекту назавжди блокуються в контракті.
Ця помилка призвела до того, що понад 34 мільйони доларів активів наразі затримані в контракті і не можуть бути вилучені.
Експерти з безпеки заявили, що, на їхню думку, після інциденту з верифікацією підписів цифрових колекцій НБА, ще один відомий проєкт зіткнувся з такою низькою помилкою. Вони підкреслили, що під час розробки проєкту необхідно писати достатню кількість тестових випадків і мати базову обізнаність про безпеку. Хоча в сфері децентралізованих фінансів безпечний аудит став звичайною практикою, в проєктах цифрових колекцій безпечний аудит все ще є недостатнім, і ця недбалість безпосередньо призвела до величезних збитків.
Ця подія ще раз підкреслила важливість безпекового аудиту проектів блокчейн, закликаючи галузь посилити перевірку безпеки контрактів цифрових колекцій, щоб запобігти повторенню подібних інцидентів.
!
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
5
Поділіться
Прокоментувати
0/400
TokenomicsTinfoilHat
· 07-27 20:38
Знову немає, активи не покривають борги.
Переглянути оригіналвідповісти на0
LidoStakeAddict
· 07-26 12:54
Контракт gg, всі дайте мені зволоження
Переглянути оригіналвідповісти на0
LiquidationKing
· 07-25 03:43
Ще один NFT падіння до нуля
Переглянути оригіналвідповісти на0
TopBuyerBottomSeller
· 07-25 03:42
Контракт знову вибухнув, класичний виробник невдах
Переглянути оригіналвідповісти на0
PanicSeller
· 07-25 03:32
Знову заробили великі гроші, напевно, вже немає грошей на повернення.
У контракті цифрових колекцій виявлено подвійні вразливості, активи на суму 34 мільйони доларів США були назавжди заблоковані.
BlockSec нещодавно виявила два серйозні вразливості в контракті цифрових колекцій, що викликало увагу в галузі. Перша вразливість може призвести до атаки на відмову в обслуговуванні, що ставить під загрозу активи користувачів, які можуть бути заблоковані; друга вразливість може призвести до того, що активи проекту на суму понад 34 мільйони доларів постійно залишаться в контракті і не можуть бути вилучені.
!
Перший вразливість знаходиться в функції обробки повернень. Ця функція циклічно повертає гроші всім користувачам, але якщо об'єкт повернення є шкідливим контрактом, він може відмовитися приймати і скасувати транзакцію, що призводить до переривання всього процесу повернення. На щастя, ця вразливість не була фактично використана.
Щодо таких ситуацій, експерти з безпеки радять сторонам проекту вжити такі заходи для посилення безпеки механізму повернення коштів:
!
Другий вразливість виникає через програмну помилку. У функції вилучення коштів проекту є помилковий умовний оператор. Цей оператор повинен порівнювати прогрес повернення коштів з індексом ставки, але помилково порівнюється з загальною кількістю ставок. Оскільки прогрес повернення коштів завжди менший за загальну кількість ставок і більше не зростає, умова ніколи не може бути виконана, внаслідок чого кошти проекту назавжди блокуються в контракті.
Ця помилка призвела до того, що понад 34 мільйони доларів активів наразі затримані в контракті і не можуть бути вилучені.
Експерти з безпеки заявили, що, на їхню думку, після інциденту з верифікацією підписів цифрових колекцій НБА, ще один відомий проєкт зіткнувся з такою низькою помилкою. Вони підкреслили, що під час розробки проєкту необхідно писати достатню кількість тестових випадків і мати базову обізнаність про безпеку. Хоча в сфері децентралізованих фінансів безпечний аудит став звичайною практикою, в проєктах цифрових колекцій безпечний аудит все ще є недостатнім, і ця недбалість безпосередньо призвела до величезних збитків.
Ця подія ще раз підкреслила важливість безпекового аудиту проектів блокчейн, закликаючи галузь посилити перевірку безпеки контрактів цифрових колекцій, щоб запобігти повторенню подібних інцидентів.
!