Gần đây, một công ty an ninh blockchain đã phát hiện ra hai lỗ hổng nghiêm trọng trong một hợp đồng tài sản kỹ thuật số, gây sự chú ý trong ngành. Địa chỉ hợp đồng nằm trên mạng chính Ethereum, các vấn đề liên quan có thể dẫn đến việc tài sản của người dùng bị khóa và bên dự án không thể rút tiền.
Lỗ hổng đầu tiên tồn tại trong hàm xử lý hoàn tiền. Hàm này thực hiện hoàn tiền cho tất cả người dùng thông qua vòng lặp, nhưng nếu đối tượng hoàn tiền là hợp đồng độc hại, nó có thể từ chối nhận và khiến giao dịch bị quay ngược, dẫn đến toàn bộ quá trình hoàn tiền thất bại. May mắn thay, lỗ hổng này đã không bị khai thác thực tế.
Đối với logic hoàn tiền như vậy, các chuyên gia trong ngành đã đưa ra một số đề xuất:
Hạn chế chỉ có tài khoản bên ngoài (EOA) mới có thể tham gia dự án
Sử dụng WETH và các mã thông báo ERC20 khác thay thế tài sản gốc
Thiết kế cơ chế để người dùng chủ động nhận hoàn tiền, tránh hoàn tiền hàng loạt
Lỗ hổng thứ hai là do sự sơ suất trong việc viết mã. Trong hàm rút tiền của Bên dự án, có một lỗi trong điều kiện kiểm tra. Đáng lẽ phải so sánh tiến độ hoàn trả và chỉ số đấu thầu, nhưng lại bị so sánh sai với tổng số đấu thầu. Điều này dẫn đến điều kiện không bao giờ được thỏa mãn, khiến số tiền của Bên dự án (hơn 34 triệu USD) bị khóa vĩnh viễn trong hợp đồng.
Sự kiện này một lần nữa đã dấy lên mối lo ngại trong ngành về tính an toàn của các dự án tài sản số. Trong lĩnh vực tài chính phi tập trung (DeFi), kiểm toán an ninh đã trở thành một thực tiễn thông thường, nhưng trong các dự án tài sản số, giai đoạn này dường như vẫn bị bỏ qua. Các chuyên gia kêu gọi, bên dự án nên viết đầy đủ các trường hợp kiểm tra trong quá trình phát triển, nuôi dưỡng nhận thức an toàn cơ bản và xem xét việc đưa vào kiểm toán an ninh chuyên nghiệp để tránh những sai sót nghiêm trọng gây ra thiệt hại lớn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
9 thích
Phần thưởng
9
6
Chia sẻ
Bình luận
0/400
SocialFiQueen
· 07-23 06:43
Ai cũng không đo lường hợp đồng đúng không?
Xem bản gốcTrả lời0
JustHereForAirdrops
· 07-23 05:43
Đồ ngốc lại bị kẹt rồi.
Xem bản gốcTrả lời0
StableBoi
· 07-23 05:42
Lại là một nhóm tạp nham
Xem bản gốcTrả lời0
GmGnSleeper
· 07-23 05:38
Cái thằng ngốc Bên dự án ăn táo thuốc viên.
Xem bản gốcTrả lời0
PermabullPete
· 07-23 05:25
Lại một hiện trường hợp đồng thông minh thất bại nữa.
Hợp đồng bộ sưu tập kỹ thuật số Ethereum lộ hai lỗ hổng lớn, 34 triệu USD bị khóa lại.
Gần đây, một công ty an ninh blockchain đã phát hiện ra hai lỗ hổng nghiêm trọng trong một hợp đồng tài sản kỹ thuật số, gây sự chú ý trong ngành. Địa chỉ hợp đồng nằm trên mạng chính Ethereum, các vấn đề liên quan có thể dẫn đến việc tài sản của người dùng bị khóa và bên dự án không thể rút tiền.
Lỗ hổng đầu tiên tồn tại trong hàm xử lý hoàn tiền. Hàm này thực hiện hoàn tiền cho tất cả người dùng thông qua vòng lặp, nhưng nếu đối tượng hoàn tiền là hợp đồng độc hại, nó có thể từ chối nhận và khiến giao dịch bị quay ngược, dẫn đến toàn bộ quá trình hoàn tiền thất bại. May mắn thay, lỗ hổng này đã không bị khai thác thực tế.
Đối với logic hoàn tiền như vậy, các chuyên gia trong ngành đã đưa ra một số đề xuất:
Lỗ hổng thứ hai là do sự sơ suất trong việc viết mã. Trong hàm rút tiền của Bên dự án, có một lỗi trong điều kiện kiểm tra. Đáng lẽ phải so sánh tiến độ hoàn trả và chỉ số đấu thầu, nhưng lại bị so sánh sai với tổng số đấu thầu. Điều này dẫn đến điều kiện không bao giờ được thỏa mãn, khiến số tiền của Bên dự án (hơn 34 triệu USD) bị khóa vĩnh viễn trong hợp đồng.
Sự kiện này một lần nữa đã dấy lên mối lo ngại trong ngành về tính an toàn của các dự án tài sản số. Trong lĩnh vực tài chính phi tập trung (DeFi), kiểm toán an ninh đã trở thành một thực tiễn thông thường, nhưng trong các dự án tài sản số, giai đoạn này dường như vẫn bị bỏ qua. Các chuyên gia kêu gọi, bên dự án nên viết đầy đủ các trường hợp kiểm tra trong quá trình phát triển, nuôi dưỡng nhận thức an toàn cơ bản và xem xét việc đưa vào kiểm toán an ninh chuyên nghiệp để tránh những sai sót nghiêm trọng gây ra thiệt hại lớn.