Одна компанія з безпеки Блокчейн нещодавно виявила два серйозних вразливості в контракті цифрового колекційного предмета. Ці два вразливості можуть завдати значних збитків користувачам та вечірці проєкту.
Перший вразливість існує у функції обробки повернень. Ця функція використовує цикл для повернення коштів всім користувачам, але якщо серед них є зловмисний контракт, це може призвести до невдачі всього процесу повернення. Це означає, що всі транзакції на повернення коштів користувачів можуть бути скасовані. На щастя, ця вразливість не була фактично використана.
!
Щоб уникнути подібних проблем, рекомендується вечірка проєкту при розробці механізму повернення коштів вжити такі заходи:
Обмеження, що тільки користувачі зовнішніх рахунків (EOA) можуть брати участь у вечірці проєкту
Використання токенів ERC20 (наприклад, WETH) замість рідних активів
Розробити функцію, яка дозволяє користувачам самостійно подавати заявки на повернення коштів, а не масове повернення.
!
Другий недолік – це програмна помилка, яка виникла в функції вилучення коштів проєкту. Через помилку в написанні умовного оператора, вечірка проєкту не змогла вилучити кошти з контракту. Конкретно кажучи, у функції порівнювалися неправильні змінні, що призводило до того, що умова ніколи не могла бути виконана. Ця помилка призвела до того, що активи на суму понад 34 мільйони доларів були назавжди заблоковані в контракті.
!
Ця подія ще раз виявила, що навіть відомі вечірка проєкту можуть стикатися з базовими помилками. Вона підкреслює важливість проведення ретельного тестування та підтримки свідомості безпеки в процесі розробки. Хоча в сфері децентралізованих фінансів (DeFi) безпековий аудит став звичайною практикою, у проєктах цифрових колекцій цей етап, здається, все ще недоотриманий. Ця недбалість безпосередньо призвела до величезних втрат, підкреслюючи необхідність приділення уваги безпековому аудиту і в проєктах цифрових колекцій.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Вразливість контракту цифрових колекцій призвела до блокування 34 мільйонів доларів США. Аудит безпеки вкрай необхідний.
Одна компанія з безпеки Блокчейн нещодавно виявила два серйозних вразливості в контракті цифрового колекційного предмета. Ці два вразливості можуть завдати значних збитків користувачам та вечірці проєкту.
Перший вразливість існує у функції обробки повернень. Ця функція використовує цикл для повернення коштів всім користувачам, але якщо серед них є зловмисний контракт, це може призвести до невдачі всього процесу повернення. Це означає, що всі транзакції на повернення коштів користувачів можуть бути скасовані. На щастя, ця вразливість не була фактично використана.
!
Щоб уникнути подібних проблем, рекомендується вечірка проєкту при розробці механізму повернення коштів вжити такі заходи:
!
Другий недолік – це програмна помилка, яка виникла в функції вилучення коштів проєкту. Через помилку в написанні умовного оператора, вечірка проєкту не змогла вилучити кошти з контракту. Конкретно кажучи, у функції порівнювалися неправильні змінні, що призводило до того, що умова ніколи не могла бути виконана. Ця помилка призвела до того, що активи на суму понад 34 мільйони доларів були назавжди заблоковані в контракті.
!
Ця подія ще раз виявила, що навіть відомі вечірка проєкту можуть стикатися з базовими помилками. Вона підкреслює важливість проведення ретельного тестування та підтримки свідомості безпеки в процесі розробки. Хоча в сфері децентралізованих фінансів (DeFi) безпековий аудит став звичайною практикою, у проєктах цифрових колекцій цей етап, здається, все ще недоотриманий. Ця недбалість безпосередньо призвела до величезних втрат, підкреслюючи необхідність приділення уваги безпековому аудиту і в проєктах цифрових колекцій.