Son günlerde, bir blok zinciri güvenlik şirketi, belirli bir dijital koleksiyon sözleşmesinde iki ciddi güvenlik açığı keşfetti ve bu durum sektörde dikkat çekti. Sözleşme adresi Ethereum ana ağında yer almakta olup, ilgili sorunlar kullanıcı varlıklarının kilitlenmesine ve proje ekibinin fonlarının çekilememesine yol açabilir.
İlk açık, iade işleme fonksiyonunda bulunmaktadır. Bu fonksiyon, tüm kullanıcılar için iadeleri döngü ile gerçekleştirir, ancak eğer iade nesnesi kötü niyetli bir sözleşme ise, kabul etmeyi reddedebilir ve işlemi geri alabilir, bu da tüm iade sürecinin başarısız olmasına neden olur. Neyse ki, bu açık gerçekte kullanılmamıştır.
Bu tür iade mantığına ilişkin sektör uzmanları birkaç öneri sundu:
Sadece dış hesapların (EOA) projeye katılmasına izin verilir.
WETH gibi ERC20 tokenlerini yerel varlıkların yerine kullanın.
Kullanıcıların aktif olarak geri ödeme almasını sağlayan bir mekanizma tasarlayın, toplu geri ödemeleri önleyin.
İkinci güvenlik açığı, kod yazma hatalarından kaynaklanmaktadır. Proje ekibinin fonları çekme fonksiyonunda bir koşul kontrol hatası vardır. Geri ödeme ilerlemesi ile teklif dizinini karşılaştırmak yerine, toplam teklif sayısı ile karşılaştırma yapılmaktadır. Bu durum, koşulun asla sağlanamamasına neden oldu ve proje ekibinin fonları (3400'den fazla milyon ABD doları) sözleşmede kalıcı olarak kilitlendi.
Bu olay, dijital koleksiyon projelerinin güvenliği konusundaki endişeleri bir kez daha gündeme getirdi. Merkeziyetsiz finans (DeFi) alanında, güvenlik denetimi rutin bir uygulama haline gelmiştir, ancak dijital koleksiyon projelerinde bu aşama hala göz ardı ediliyor gibi görünüyor. Uzmanlar, proje ekibinin geliştirme sürecinde yeterli test senaryoları yazması, temel güvenlik bilincini geliştirmesi ve benzer düşük seviyeli hataların neden olduğu büyük kayıpları önlemek için profesyonel güvenlik denetimlerini dikkate alması gerektiğini vurguluyor.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 Likes
Reward
9
6
Share
Comment
0/400
SocialFiQueen
· 07-23 06:43
Kimse sözleşmeyi test etmiyor, öyle mi?
View OriginalReply0
JustHereForAirdrops
· 07-23 05:43
Bu kez yine enayiler sıkıştı.
View OriginalReply0
StableBoi
· 07-23 05:42
Yine bir çeltik ekibi
View OriginalReply0
GmGnSleeper
· 07-23 05:38
Bu aptal Proje Ekibi hurma ilacı yiyor.
View OriginalReply0
PermabullPete
· 07-23 05:25
Yine bir akıllı sözleşmelerin başarısız olduğu bir yer.
Ethereum dijital koleksiyon sözleşmesinde iki büyük güvenlik açığı ortaya çıktı, 34 milyon dolar fon kilitlendi.
Son günlerde, bir blok zinciri güvenlik şirketi, belirli bir dijital koleksiyon sözleşmesinde iki ciddi güvenlik açığı keşfetti ve bu durum sektörde dikkat çekti. Sözleşme adresi Ethereum ana ağında yer almakta olup, ilgili sorunlar kullanıcı varlıklarının kilitlenmesine ve proje ekibinin fonlarının çekilememesine yol açabilir.
İlk açık, iade işleme fonksiyonunda bulunmaktadır. Bu fonksiyon, tüm kullanıcılar için iadeleri döngü ile gerçekleştirir, ancak eğer iade nesnesi kötü niyetli bir sözleşme ise, kabul etmeyi reddedebilir ve işlemi geri alabilir, bu da tüm iade sürecinin başarısız olmasına neden olur. Neyse ki, bu açık gerçekte kullanılmamıştır.
Bu tür iade mantığına ilişkin sektör uzmanları birkaç öneri sundu:
İkinci güvenlik açığı, kod yazma hatalarından kaynaklanmaktadır. Proje ekibinin fonları çekme fonksiyonunda bir koşul kontrol hatası vardır. Geri ödeme ilerlemesi ile teklif dizinini karşılaştırmak yerine, toplam teklif sayısı ile karşılaştırma yapılmaktadır. Bu durum, koşulun asla sağlanamamasına neden oldu ve proje ekibinin fonları (3400'den fazla milyon ABD doları) sözleşmede kalıcı olarak kilitlendi.
Bu olay, dijital koleksiyon projelerinin güvenliği konusundaki endişeleri bir kez daha gündeme getirdi. Merkeziyetsiz finans (DeFi) alanında, güvenlik denetimi rutin bir uygulama haline gelmiştir, ancak dijital koleksiyon projelerinde bu aşama hala göz ardı ediliyor gibi görünüyor. Uzmanlar, proje ekibinin geliştirme sürecinde yeterli test senaryoları yazması, temel güvenlik bilincini geliştirmesi ve benzer düşük seviyeli hataların neden olduğu büyük kayıpları önlemek için profesyonel güvenlik denetimlerini dikkate alması gerektiğini vurguluyor.