Нещодавно одна компанія з безпеки блокчейну виявила два серйозні вразливості в контракті цифрового колекційного предмета, що викликало зацікавленість у галузі. Адреса цього контракту знаходиться в Основній мережі Ethereum, а пов'язані проблеми можуть призвести до блокування активів користувачів та неможливості виведення коштів вечірки проєкту.
Перший вразливість існує у функції обробки повернень. Ця функція через цикл проводить повернення для всіх користувачів, але якщо об'єкт повернення є шкідливим контрактом, він може відмовитися приймати та викликати відкат транзакції, що призводить до провалу всього процесу повернення. На щастя, ця вразливість не була фактично використана.
!
Щодо логіки повернення коштів такого типу, експерти галузі висловили кілька порад:
Обмеження, що лише зовнішні рахунки (EOA) можуть брати участь у проєкті
Використовуйте WETH та інші токени ERC20 замість рідних активів
Розробити механізм, що дозволяє користувачам активно отримувати повернення, щоб уникнути масових повернень.
!
Другий вразливість виникла через недбалість при написанні коду. У функції вилучення коштів проектної вечірки існує помилка в умовному порівнянні. Замість того, щоб порівнювати прогрес повернення та індекс тендера, помилково проводили порівняння з загальною кількістю тендерів. Це призвело до того, що умова ніколи не могла бути виконана, а кошти проектної вечірки (понад 34 мільйони доларів США) були назавжди заблоковані в контракті.
!
Ця подія знову викликала занепокоєння в індустрії щодо безпеки проектів цифрових колекцій. У сфері децентралізованих фінансів (DeFi) безпекові аудити стали звичайною практикою, але в проектах цифрових колекцій цей етап, здається, досі ігнорується. Експерти закликають, щоб вечірка проєкту під час розробки складала достатні тести, виховувала базову обізнаність про безпеку та розглянула можливість залучення професійного безпекового аудиту, щоб уникнути подібних примітивних помилок, що призводять до величезних втрат.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
7
Поділіться
Прокоментувати
0/400
CounterIndicator
· 5год тому
Знову з'явився BUG, зайняти протилежну позицію шортити eth
Контракт цифрових колекцій Ethereum виявив два великі уразливості, 34 мільйона доларів США заблоковано.
Нещодавно одна компанія з безпеки блокчейну виявила два серйозні вразливості в контракті цифрового колекційного предмета, що викликало зацікавленість у галузі. Адреса цього контракту знаходиться в Основній мережі Ethereum, а пов'язані проблеми можуть призвести до блокування активів користувачів та неможливості виведення коштів вечірки проєкту.
Перший вразливість існує у функції обробки повернень. Ця функція через цикл проводить повернення для всіх користувачів, але якщо об'єкт повернення є шкідливим контрактом, він може відмовитися приймати та викликати відкат транзакції, що призводить до провалу всього процесу повернення. На щастя, ця вразливість не була фактично використана.
!
Щодо логіки повернення коштів такого типу, експерти галузі висловили кілька порад:
!
Другий вразливість виникла через недбалість при написанні коду. У функції вилучення коштів проектної вечірки існує помилка в умовному порівнянні. Замість того, щоб порівнювати прогрес повернення та індекс тендера, помилково проводили порівняння з загальною кількістю тендерів. Це призвело до того, що умова ніколи не могла бути виконана, а кошти проектної вечірки (понад 34 мільйони доларів США) були назавжди заблоковані в контракті.
!
Ця подія знову викликала занепокоєння в індустрії щодо безпеки проектів цифрових колекцій. У сфері децентралізованих фінансів (DeFi) безпекові аудити стали звичайною практикою, але в проектах цифрових колекцій цей етап, здається, досі ігнорується. Експерти закликають, щоб вечірка проєкту під час розробки складала достатні тести, виховувала базову обізнаність про безпеку та розглянула можливість залучення професійного безпекового аудиту, щоб уникнути подібних примітивних помилок, що призводять до величезних втрат.