BlockSec baru-baru ini melakukan audit keamanan terhadap kontrak koleksi digital tertentu dan menemukan dua kerentanan serius. Kerentanan ini dapat menyebabkan aset pengguna terkunci dan dana tim proyek tidak dapat ditarik, yang merupakan konsekuensi serius.
Vulnerabilitas pertama terletak pada fungsi pemrosesan pengembalian dana. Fungsi ini menggunakan metode loop untuk mengembalikan dana kepada semua pengguna, tetapi jika salah satu pengguna adalah kontrak jahat, mereka dapat menolak menerima pengembalian dana dan menghentikan transaksi, yang menyebabkan operasi pengembalian dana untuk semua pengguna gagal. Untungnya, kerentanan ini belum dimanfaatkan.
Untuk menghindari masalah serupa, disarankan agar tim proyek mengambil langkah-langkah keamanan berikut:
Pembatasan hanya akun pengguna pribadi yang dapat berpartisipasi dalam proyek
Menggunakan token ERC20 daripada aset asli
Merancang mekanisme bagi pengguna untuk secara proaktif mengajukan permohonan pengembalian dana, bukan pengembalian dana secara massal
Kelemahan kedua disebabkan oleh kesalahan penulisan kode. Dalam fungsi penarikan dana proyek, sebuah pernyataan kondisi mengalami kesalahan logika, yang menyebabkan tim proyek tidak dapat menarik dana dari kontrak. Saat ini, lebih dari 34 juta dolar aset terkunci secara permanen dalam kontrak.
Ini sekali lagi menyoroti pentingnya pengujian menyeluruh dan audit keamanan dalam proses pengembangan proyek. Meskipun di bidang DeFi, audit keamanan telah menjadi praktik umum, dalam proyek koleksi digital, tahap ini sering diabaikan, yang mengakibatkan kerugian besar.
tim proyek dalam proses pengembangan harus menulis cukup kasus uji dan mengembangkan kesadaran keamanan dasar. Sementara itu, untuk proyek koleksi digital bernilai tinggi, melakukan audit keamanan profesional juga sangat diperlukan untuk menghindari terjadinya kerugian besar yang serupa.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
10 Suka
Hadiah
10
5
Posting ulang
Bagikan
Komentar
0/400
LonelyAnchorman
· 3jam yang lalu
lagi-lagi kesempatan Kupon Klip terlewatkan
Lihat AsliBalas0
CryptoFortuneTeller
· 08-12 13:10
Sudah datang, siapa yang kodenya sudah diperiksa tanpa kesalahan?
Lihat AsliBalas0
MetaverseVagabond
· 08-12 12:56
Uang ini sama saja dengan membuang-buang, sudah pergi.
Lihat AsliBalas0
SchrödingersNode
· 08-12 12:53
Hah, smart contract juga tidak lebih dari ini.
Lihat AsliBalas0
0xInsomnia
· 08-12 12:53
Sudah terkunci lagi, benar-benar hanya bermain untuk mengumpulkan uang.
BlockSec mengungkapkan kerentanan kontrak koleksi digital, aset senilai 34 juta dolar AS terkunci permanen.
BlockSec baru-baru ini melakukan audit keamanan terhadap kontrak koleksi digital tertentu dan menemukan dua kerentanan serius. Kerentanan ini dapat menyebabkan aset pengguna terkunci dan dana tim proyek tidak dapat ditarik, yang merupakan konsekuensi serius.
Vulnerabilitas pertama terletak pada fungsi pemrosesan pengembalian dana. Fungsi ini menggunakan metode loop untuk mengembalikan dana kepada semua pengguna, tetapi jika salah satu pengguna adalah kontrak jahat, mereka dapat menolak menerima pengembalian dana dan menghentikan transaksi, yang menyebabkan operasi pengembalian dana untuk semua pengguna gagal. Untungnya, kerentanan ini belum dimanfaatkan.
Untuk menghindari masalah serupa, disarankan agar tim proyek mengambil langkah-langkah keamanan berikut:
Kelemahan kedua disebabkan oleh kesalahan penulisan kode. Dalam fungsi penarikan dana proyek, sebuah pernyataan kondisi mengalami kesalahan logika, yang menyebabkan tim proyek tidak dapat menarik dana dari kontrak. Saat ini, lebih dari 34 juta dolar aset terkunci secara permanen dalam kontrak.
Ini sekali lagi menyoroti pentingnya pengujian menyeluruh dan audit keamanan dalam proses pengembangan proyek. Meskipun di bidang DeFi, audit keamanan telah menjadi praktik umum, dalam proyek koleksi digital, tahap ini sering diabaikan, yang mengakibatkan kerugian besar.
tim proyek dalam proses pengembangan harus menulis cukup kasus uji dan mengembangkan kesadaran keamanan dasar. Sementara itu, untuk proyek koleksi digital bernilai tinggi, melakukan audit keamanan profesional juga sangat diperlukan untuk menghindari terjadinya kerugian besar yang serupa.