مؤخراً، اكتشفت شركة أمان البلوكتشين وجود ثغرتين خطيرتين في عقد رقمي، مما أثار اهتمام الصناعة. يقع عنوان العقد في الشبكة الرئيسية لإثيريوم، وقد تؤدي المشاكل المعنية إلى قفل أصول المستخدمين وعدم قدرة فريق المشروع على سحب الأموال.
الثغرة الأولى موجودة في دالة معالجة الاسترداد. تقوم هذه الدالة بعملية استرداد لجميع المستخدمين من خلال حلقة، ولكن إذا كان كائن الاسترداد عقدًا خبيثًا، فقد يرفض الاستلام ويتسبب في تراجع المعاملة، مما يؤدي إلى فشل عملية الاسترداد بالكامل. لحسن الحظ، لم يتم استغلال هذه الثغرة فعليًا.
!
بالنسبة لهذه المنطقية في الاسترداد، قدم الخبراء في الصناعة بعض الاقتراحات:
يجب أن يقتصر المشاركة في المشروع على الحسابات الخارجية (EOA) فقط
استخدام WETH وغيرها من رموز ERC20 كبديل للأصول الأصلية
تصميم آلية للمستخدمين لاسترداد المبالغ بشكل نشط، وتجنب استرداد المبالغ بالجملة
!
الثغرة الثانية كانت نتيجة إهمال في كتابة الكود. في دالة سحب الأموال من فريق المشروع، كان هناك خطأ في شرط المقارنة. كان من المفترض مقارنة تقدم رد الأموال مع فهرس العطاء، ولكن تم الخطأ بالمقارنة مع إجمالي عدد العطاءات. وهذا أدى إلى عدم إمكانية تحقيق الشرط أبداً، وتم قفل أموال فريق المشروع (أكثر من 34 مليون دولار) بشكل دائم في العقد.
!
هذه الحادثة أطلقت مجددًا مخاوف الصناعة بشأن أمان مشاريع المقتنيات الرقمية. في مجال التمويل اللامركزي (DeFi)، أصبحت التدقيقات الأمنية ممارسة روتينية، لكن في مشاريع المقتنيات الرقمية، يبدو أن هذه المرحلة لا تزال مهملة. يدعو الخبراء فرق المشروع إلى كتابة حالات اختبار كافية خلال عملية التطوير، وزرع الوعي الأمني الأساسي، والنظر في إدخال تدقيق أمني احترافي لتجنب خسائر ضخمة ناتجة عن أخطاء بسيطة مشابهة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
إثيريوم رقمية مقتنيات عقد كشف عن ثغرتين كبيرتين 3400万美元资金被锁定
مؤخراً، اكتشفت شركة أمان البلوكتشين وجود ثغرتين خطيرتين في عقد رقمي، مما أثار اهتمام الصناعة. يقع عنوان العقد في الشبكة الرئيسية لإثيريوم، وقد تؤدي المشاكل المعنية إلى قفل أصول المستخدمين وعدم قدرة فريق المشروع على سحب الأموال.
الثغرة الأولى موجودة في دالة معالجة الاسترداد. تقوم هذه الدالة بعملية استرداد لجميع المستخدمين من خلال حلقة، ولكن إذا كان كائن الاسترداد عقدًا خبيثًا، فقد يرفض الاستلام ويتسبب في تراجع المعاملة، مما يؤدي إلى فشل عملية الاسترداد بالكامل. لحسن الحظ، لم يتم استغلال هذه الثغرة فعليًا.
!
بالنسبة لهذه المنطقية في الاسترداد، قدم الخبراء في الصناعة بعض الاقتراحات:
!
الثغرة الثانية كانت نتيجة إهمال في كتابة الكود. في دالة سحب الأموال من فريق المشروع، كان هناك خطأ في شرط المقارنة. كان من المفترض مقارنة تقدم رد الأموال مع فهرس العطاء، ولكن تم الخطأ بالمقارنة مع إجمالي عدد العطاءات. وهذا أدى إلى عدم إمكانية تحقيق الشرط أبداً، وتم قفل أموال فريق المشروع (أكثر من 34 مليون دولار) بشكل دائم في العقد.
!
هذه الحادثة أطلقت مجددًا مخاوف الصناعة بشأن أمان مشاريع المقتنيات الرقمية. في مجال التمويل اللامركزي (DeFi)، أصبحت التدقيقات الأمنية ممارسة روتينية، لكن في مشاريع المقتنيات الرقمية، يبدو أن هذه المرحلة لا تزال مهملة. يدعو الخبراء فرق المشروع إلى كتابة حالات اختبار كافية خلال عملية التطوير، وزرع الوعي الأمني الأساسي، والنظر في إدخال تدقيق أمني احترافي لتجنب خسائر ضخمة ناتجة عن أخطاء بسيطة مشابهة.