Baru-baru ini, sebuah perusahaan keamanan blockchain menemukan dua kerentanan serius pada kontrak koleksi digital, yang menarik perhatian industri. Alamat kontrak tersebut terletak di Mainnet Ethereum, dan masalah yang terlibat dapat menyebabkan aset pengguna ter鎖 dan dana tim proyek tidak dapat ditarik.
Vuln pertama ada di fungsi pemrosesan pengembalian dana. Fungsi ini melakukan pengembalian dana untuk semua pengguna melalui loop, tetapi jika objek pengembalian dana adalah kontrak jahat, mungkin akan menolak untuk menerima dan membuat transaksi kembali, sehingga seluruh proses pengembalian dana gagal. Untungnya, celah ini belum dieksploitasi secara nyata.
Terkait logika pengembalian dana jenis ini, para ahli di industri mengajukan beberapa saran:
Pembatasan hanya akun eksternal (EOA) yang dapat berpartisipasi dalam proyek
Menggunakan WETH dan token ERC20 lainnya sebagai pengganti aset asli
Merancang mekanisme bagi pengguna untuk secara aktif mengklaim pengembalian dana, untuk menghindari pengembalian dana secara massal
Kelemahan kedua disebabkan oleh kelalaian dalam penulisan kode. Dalam fungsi pengambilan dana oleh tim proyek, terdapat kesalahan dalam perbandingan kondisi. Seharusnya membandingkan kemajuan pengembalian dana dan indeks penawaran, tetapi secara keliru dibandingkan dengan jumlah total penawaran. Hal ini menyebabkan kondisi tidak pernah terpenuhi, dan dana tim proyek (lebih dari 34 juta dolar AS) terkunci selamanya dalam kontrak.
Peristiwa ini sekali lagi memicu kekhawatiran di industri tentang keamanan proyek koleksi digital. Di bidang keuangan terdesentralisasi (DeFi), audit keamanan telah menjadi praktik umum, tetapi dalam proyek koleksi digital, langkah ini tampaknya masih diabaikan. Para ahli menyerukan agar tim proyek menulis kasus pengujian yang memadai selama proses pengembangan, mengembangkan kesadaran keamanan dasar, dan mempertimbangkan untuk melibatkan audit keamanan profesional, untuk menghindari kerugian besar yang disebabkan oleh kesalahan-kesalahan dasar yang serupa.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
9 Suka
Hadiah
9
6
Bagikan
Komentar
0/400
SocialFiQueen
· 07-23 06:43
Siapa pun tidak menguji kontrak, ya?
Lihat AsliBalas0
JustHereForAirdrops
· 07-23 05:43
Sekarang ada lagi suckers yang terjebak.
Lihat AsliBalas0
StableBoi
· 07-23 05:42
Ini lagi kelompok amatir
Lihat AsliBalas0
GmGnSleeper
· 07-23 05:38
tim proyek ini makan jujube obat pil
Lihat AsliBalas0
PermabullPete
· 07-23 05:25
Ini adalah lokasi lain di mana smart contract gagal.
Kontrak koleksi digital Ethereum mengungkap dua kerentanan besar, dana senilai 34 juta dolar terkunci.
Baru-baru ini, sebuah perusahaan keamanan blockchain menemukan dua kerentanan serius pada kontrak koleksi digital, yang menarik perhatian industri. Alamat kontrak tersebut terletak di Mainnet Ethereum, dan masalah yang terlibat dapat menyebabkan aset pengguna ter鎖 dan dana tim proyek tidak dapat ditarik.
Vuln pertama ada di fungsi pemrosesan pengembalian dana. Fungsi ini melakukan pengembalian dana untuk semua pengguna melalui loop, tetapi jika objek pengembalian dana adalah kontrak jahat, mungkin akan menolak untuk menerima dan membuat transaksi kembali, sehingga seluruh proses pengembalian dana gagal. Untungnya, celah ini belum dieksploitasi secara nyata.
Terkait logika pengembalian dana jenis ini, para ahli di industri mengajukan beberapa saran:
Kelemahan kedua disebabkan oleh kelalaian dalam penulisan kode. Dalam fungsi pengambilan dana oleh tim proyek, terdapat kesalahan dalam perbandingan kondisi. Seharusnya membandingkan kemajuan pengembalian dana dan indeks penawaran, tetapi secara keliru dibandingkan dengan jumlah total penawaran. Hal ini menyebabkan kondisi tidak pernah terpenuhi, dan dana tim proyek (lebih dari 34 juta dolar AS) terkunci selamanya dalam kontrak.
Peristiwa ini sekali lagi memicu kekhawatiran di industri tentang keamanan proyek koleksi digital. Di bidang keuangan terdesentralisasi (DeFi), audit keamanan telah menjadi praktik umum, tetapi dalam proyek koleksi digital, langkah ini tampaknya masih diabaikan. Para ahli menyerukan agar tim proyek menulis kasus pengujian yang memadai selama proses pengembangan, mengembangkan kesadaran keamanan dasar, dan mempertimbangkan untuk melibatkan audit keamanan profesional, untuk menghindari kerugian besar yang disebabkan oleh kesalahan-kesalahan dasar yang serupa.