BlockSec нещодавно провела безпековий аудит контракту цифрового колекційного предмета та виявила два серйозних уразливості. Ці уразливості можуть призвести до серйозних наслідків, таких як блокування активів користувачів та неможливість виведення коштів вечірки проєкту.
Перший вразливість існує у функції обробки повернень. Ця функція використовує циклічний метод для повернення коштів всім користувачам, але якщо якийсь користувач є злочинним контрактом, він може відмовитися приймати повернення та припинити угоду, що призведе до невдачі всіх операцій повернення коштів. На щастя, ця вразливість ще не була використана.
Для уникнення подібних проблем, рекомендується вечірка проєкту вжити такі заходи безпеки:
Обмеження лише для особистих користувачів можуть брати участь у вечірці проєкту
Використовуйте токени ERC20, а не рідні активи
Розробити механізм активного запиту на повернення коштів користувачами, а не масове повернення.
!
Другий вразливість виникла через помилку в написанні коду. У функції витягування коштів проєкту виникла логічна помилка в умовному операторі, що призвело до того, що вечірка проєкту не змогла витягти кошти з контракту. Наразі більше 34 мільйонів доларів активів назавжди заблоковані в контракті.
!
Це ще раз підкреслює важливість всебічного тестування та аудиту безпеки в процесі розробки вечірка проєкту. Хоча в сфері DeFi аудит безпеки став звичайною практикою, у проєктах цифрових колекцій цей етап часто ігнорується, що призводить до величезних втрат.
Вечірка проєкту під час розробки повинна забезпечити написання достатньої кількості тестових випадків та виховувати базову обізнаність щодо безпеки. Одночасно, для проєктів з цифровими колекційними предметами високої вартості, проведення професійного аудиту безпеки також є вкрай необхідним, щоб уникнути повторення подібних значних втрат.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
12 лайків
Нагородити
12
5
Репост
Поділіться
Прокоментувати
0/400
LonelyAnchorman
· 08-14 17:39
Знову втратив можливість Кліпові купони
Переглянути оригіналвідповісти на0
CryptoFortuneTeller
· 08-12 13:10
Якщо вже прийшли, чий код не пройшов без помилок?
Переглянути оригіналвідповісти на0
MetaverseVagabond
· 08-12 12:56
Ці гроші виявилися марними, вони просто зникли.
Переглянути оригіналвідповісти на0
SchrödingersNode
· 08-12 12:53
Ех, смартконтракти насправді не такі вже й круті.
Переглянути оригіналвідповісти на0
0xInsomnia
· 08-12 12:53
Знову заблокували, справді лише грають для заробітку.
BlockSec виявив вразливість контракту цифрових колекцій, активи на суму 34 мільйони доларів були назавжди заблоковані.
BlockSec нещодавно провела безпековий аудит контракту цифрового колекційного предмета та виявила два серйозних уразливості. Ці уразливості можуть призвести до серйозних наслідків, таких як блокування активів користувачів та неможливість виведення коштів вечірки проєкту.
Перший вразливість існує у функції обробки повернень. Ця функція використовує циклічний метод для повернення коштів всім користувачам, але якщо якийсь користувач є злочинним контрактом, він може відмовитися приймати повернення та припинити угоду, що призведе до невдачі всіх операцій повернення коштів. На щастя, ця вразливість ще не була використана.
Для уникнення подібних проблем, рекомендується вечірка проєкту вжити такі заходи безпеки:
!
Другий вразливість виникла через помилку в написанні коду. У функції витягування коштів проєкту виникла логічна помилка в умовному операторі, що призвело до того, що вечірка проєкту не змогла витягти кошти з контракту. Наразі більше 34 мільйонів доларів активів назавжди заблоковані в контракті.
!
Це ще раз підкреслює важливість всебічного тестування та аудиту безпеки в процесі розробки вечірка проєкту. Хоча в сфері DeFi аудит безпеки став звичайною практикою, у проєктах цифрових колекцій цей етап часто ігнорується, що призводить до величезних втрат.
Вечірка проєкту під час розробки повинна забезпечити написання достатньої кількості тестових випадків та виховувати базову обізнаність щодо безпеки. Одночасно, для проєктів з цифровими колекційними предметами високої вартості, проведення професійного аудиту безпеки також є вкрай необхідним, щоб уникнути повторення подібних значних втрат.
!