BlockSec недавно провела безопасность контракта на цифровые коллекционные предметы и обнаружила два серьезных уязвимости. Эти уязвимости могут привести к блокировке активов пользователей и невозможности вывода средств командой проекта.
Первый уязвимость существует в функции обработки возвратов. Эта функция использует циклический способ возврата средств всем пользователям, но если какой-то пользователь является злонамеренным контрактом, он может отказаться от получения возврата и прервать транзакцию, что приведет к неудаче всех операций возврата пользователей. К счастью, эта уязвимость еще не была использована.
Чтобы избежать подобных проблем, рекомендуется, чтобы команда проекта предприняла следующие меры безопасности:
Ограничение только для участия в проекте личных учетных записей пользователей
Использование токенов ERC20 вместо родных активов
Разработать механизм, позволяющий пользователям самостоятельно запрашивать возврат, а не осуществлять массовые возвраты.
!
Второй уязвимость возникла из-за ошибки в написании кода. В функции извлечения средств проекта одно условное выражение имело логическую ошибку, что привело к невозможности команды проекта извлечь средства из контракта. В настоящее время более 34 миллионов долларов активов навсегда заблокированы в контракте.
!
Это вновь подчеркивает важность всестороннего тестирования и безопасности в процессе разработки проекта. Хотя в сфере DeFi безопасность стала обычной практикой, в проектах цифровых коллекционных предметов этот этап часто игнорируется, что приводит к огромным потерям.
команда проекта в процессе разработки должна составлять достаточное количество тестовых случаев и развивать базовое понимание безопасности. В то же время для проектов с высокоценными цифровыми активами проведение профессионального аудита безопасности также крайне необходимо, чтобы избежать повторения подобных значительных убытков.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
12 Лайков
Награда
12
5
Репост
Поделиться
комментарий
0/400
LonelyAnchorman
· 08-14 17:39
Снова упустил возможность Клиповые купоны.
Посмотреть ОригиналОтветить0
CryptoFortuneTeller
· 08-12 13:10
Пришли, так пришли. Чей код прошел проверку без ошибок?
Посмотреть ОригиналОтветить0
MetaverseVagabond
· 08-12 12:56
Эти деньги можно считать потерянными, ускользнули, ускользнули.
Посмотреть ОригиналОтветить0
SchrödingersNode
· 08-12 12:53
Эх, смарт-контракты и не так уж хороши.
Посмотреть ОригиналОтветить0
0xInsomnia
· 08-12 12:53
Опять заблокировали, просто играют, чтобы заработать деньги.
BlockSec раскрыл уязвимость контракта цифровых коллекционных предметов, 34 миллиона долларов активов были навсегда заблокированы.
BlockSec недавно провела безопасность контракта на цифровые коллекционные предметы и обнаружила два серьезных уязвимости. Эти уязвимости могут привести к блокировке активов пользователей и невозможности вывода средств командой проекта.
Первый уязвимость существует в функции обработки возвратов. Эта функция использует циклический способ возврата средств всем пользователям, но если какой-то пользователь является злонамеренным контрактом, он может отказаться от получения возврата и прервать транзакцию, что приведет к неудаче всех операций возврата пользователей. К счастью, эта уязвимость еще не была использована.
Чтобы избежать подобных проблем, рекомендуется, чтобы команда проекта предприняла следующие меры безопасности:
!
Второй уязвимость возникла из-за ошибки в написании кода. В функции извлечения средств проекта одно условное выражение имело логическую ошибку, что привело к невозможности команды проекта извлечь средства из контракта. В настоящее время более 34 миллионов долларов активов навсегда заблокированы в контракте.
!
Это вновь подчеркивает важность всестороннего тестирования и безопасности в процессе разработки проекта. Хотя в сфере DeFi безопасность стала обычной практикой, в проектах цифровых коллекционных предметов этот этап часто игнорируется, что приводит к огромным потерям.
команда проекта в процессе разработки должна составлять достаточное количество тестовых случаев и развивать базовое понимание безопасности. В то же время для проектов с высокоценными цифровыми активами проведение профессионального аудита безопасности также крайне необходимо, чтобы избежать повторения подобных значительных убытков.
!