أجرت BlockSec مؤخرًا مراجعة أمنية لعقد رقمي معين ووجدت ثغرتين خطيرتين. قد تؤدي هذه الثغرات إلى قفل أصول المستخدمين وعدم القدرة على سحب أموال فريق المشروع.
يوجد الثغرة الأولى في وظيفة معالجة الاسترداد. تستخدم هذه الوظيفة أسلوب الحلقة لاسترداد المبالغ لجميع المستخدمين، ولكن إذا كان أحد المستخدمين عقدًا خبيثًا، فقد يرفض استلام الاسترداد وينهي الصفقة، مما يؤدي إلى فشل عمليات الاسترداد لجميع المستخدمين. لحسن الحظ، لم يتم استغلال هذه الثغرة بعد.
لتجنب المشاكل المماثلة، يُنصح فريق المشروع باتخاذ التدابير الأمنية التالية:
القيود تنص على أن الحسابات الشخصية فقط يمكنها المشاركة في المشروع
استخدام رموز ERC20 بدلاً من الأصول الأصلية
تصميم آلية للمستخدمين لتقديم طلبات استرداد الأموال بأنفسهم، بدلاً من استرداد الأموال بالجملة
!
الثغرة الثانية ناتجة عن خطأ في كتابة الكود. في وظيفة سحب أموال المشروع، حدث خطأ منطقي في جملة شرطية، مما أدى إلى عدم قدرة فريق المشروع على سحب الأموال من العقد. حاليا، تم قفل أصول تزيد قيمتها عن 34 مليون دولار بشكل دائم في العقد.
!
هذا يبرز مرة أخرى أهمية الاختبار الشامل والمراجعة الأمنية خلال عملية تطوير المشروع. على الرغم من أن تدقيق الأمان أصبح ممارسة شائعة في مجال DeFi، إلا أن هذه المرحلة غالبًا ما يتم تجاهلها في مشاريع المقتنيات الرقمية، مما يؤدي إلى خسائر ضخمة.
يجب على فريق المشروع أثناء عملية التطوير كتابة حالات اختبار كافية، وزرع الوعي الأساسي بالسلامة. في الوقت نفسه، بالنسبة لمشاريع المقتنيات الرقمية ذات القيمة العالية، من الضروري أيضًا إجراء تدقيق أمني متخصص لتجنب حدوث خسائر كبيرة مشابهة مرة أخرى.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 12
أعجبني
12
5
إعادة النشر
مشاركة
تعليق
0/400
LonelyAnchorman
· 08-14 17:39
又被 اقتطاف القسائم机会溜走了
شاهد النسخة الأصليةرد0
CryptoFortuneTeller
· 08-12 13:10
لقد جئت إلى هنا، من لم يراجع كوده بدون خطأ؟
شاهد النسخة الأصليةرد0
MetaverseVagabond
· 08-12 12:56
هذا المال يعادل إلقاءه في الماء، هرب هرب.
شاهد النسخة الأصليةرد0
SchrödingersNode
· 08-12 12:53
呵 العقود الذكية也不过如此
شاهد النسخة الأصليةرد0
0xInsomnia
· 08-12 12:53
لقد تم قفل الحساب مرة أخرى، إنهم فقط يلعبون من أجل جني المال.
BlockSec تكشف عن ثغرة في عقود المقتنيات الرقمية تم قفل أصول بقيمة 34 مليون دولار بشكل دائم
أجرت BlockSec مؤخرًا مراجعة أمنية لعقد رقمي معين ووجدت ثغرتين خطيرتين. قد تؤدي هذه الثغرات إلى قفل أصول المستخدمين وعدم القدرة على سحب أموال فريق المشروع.
يوجد الثغرة الأولى في وظيفة معالجة الاسترداد. تستخدم هذه الوظيفة أسلوب الحلقة لاسترداد المبالغ لجميع المستخدمين، ولكن إذا كان أحد المستخدمين عقدًا خبيثًا، فقد يرفض استلام الاسترداد وينهي الصفقة، مما يؤدي إلى فشل عمليات الاسترداد لجميع المستخدمين. لحسن الحظ، لم يتم استغلال هذه الثغرة بعد.
لتجنب المشاكل المماثلة، يُنصح فريق المشروع باتخاذ التدابير الأمنية التالية:
!
الثغرة الثانية ناتجة عن خطأ في كتابة الكود. في وظيفة سحب أموال المشروع، حدث خطأ منطقي في جملة شرطية، مما أدى إلى عدم قدرة فريق المشروع على سحب الأموال من العقد. حاليا، تم قفل أصول تزيد قيمتها عن 34 مليون دولار بشكل دائم في العقد.
!
هذا يبرز مرة أخرى أهمية الاختبار الشامل والمراجعة الأمنية خلال عملية تطوير المشروع. على الرغم من أن تدقيق الأمان أصبح ممارسة شائعة في مجال DeFi، إلا أن هذه المرحلة غالبًا ما يتم تجاهلها في مشاريع المقتنيات الرقمية، مما يؤدي إلى خسائر ضخمة.
يجب على فريق المشروع أثناء عملية التطوير كتابة حالات اختبار كافية، وزرع الوعي الأساسي بالسلامة. في الوقت نفسه، بالنسبة لمشاريع المقتنيات الرقمية ذات القيمة العالية، من الضروري أيضًا إجراء تدقيق أمني متخصص لتجنب حدوث خسائر كبيرة مشابهة مرة أخرى.
!