مؤخراً، اكتشفت شركة أمان وجود ثغرتين خطيرتين في عقد أحد المقتنيات الرقمية، مما أثار اهتماماً واسعاً في الصناعة. قد تؤدي هاتان الثغرتان إلى عواقب وخيمة تتمثل في قفل أصول المستخدمين وعدم قدرة فريق المشروع على سحب الأموال.
الثغرة الأولى موجودة في دالة معالجة الاسترداد. تقوم هذه الدالة بإجراء استرداد لجميع المستخدمين عبر حلقة، ولكن إذا كان هناك مستخدم عقد خبيث ضمنهم، فقد يؤدي ذلك إلى توقف عملية الاسترداد بالكامل، مما يؤدي إلى قفل أصول جميع المستخدمين. لحسن الحظ، لم يتم استغلال هذه الثغرة فعليًا.
في مثل هذه الحالات، ينصح الخبراء في الصناعة فريق المشروع باتخاذ التدابير الأمنية التالية:
يجب أن يقتصر المشاركة في المشروع على حسابات المستخدمين العاديين
استخدام رموز ERC20 مثل WETH بدلاً من الأصول الأصلية
تصميم آلية لتمكين المستخدمين من تقديم طلبات استرداد الأموال بشكل نشط، لتجنب استرداد الأموال بالجملة
الثغرة الثانية ناتجة عن خطأ في البرمجة. في دالة استخراج أموال المشروع، تم استخدام متغير خاطئ للمقارنة في شرط أساسي. وهذا أدى إلى عدم إمكانية تحقيق شرط الحكم، مما أدى إلى احتجاز أموال الفريق المشروع (أكثر من 34 مليون دولار) بشكل دائم في العقد.
!
هذا الحدث يبرز مرة أخرى أنه حتى المشاريع المعروفة يمكن أن تحدث فيها أخطاء بدائية. دعا الخبراء فريق المشروع إلى كتابة حالات اختبار كافية خلال عملية التطوير وزيادة الوعي الأمني الأساسي. على الرغم من أن التدقيق الأمني أصبح ممارسة شائعة في مجال DeFi، إلا أن هناك نقصًا واضحًا في التدقيق الأمني في مشاريع المقتنيات الرقمية، وهذا الحدث هو مثال نموذجي على ذلك.
!
تذكر هذه الحادثة مرة أخرى المعنيين في الصناعة أنه مع التطور السريع لتكنولوجيا blockchain، لا يمكن تجاهل أمان المشروع. سواء كان فريق التطوير أو المستثمرين، يجب عليهم إيلاء المزيد من الاهتمام لأمان العقود الذكية لتجنب حدوث خسائر ضخمة مماثلة مرة أخرى.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 7
أعجبني
7
5
مشاركة
تعليق
0/400
BrokeBeans
· 07-29 08:23
يستحق ذلك، من الذي جعلكم لا تختبرون
شاهد النسخة الأصليةرد0
AltcoinAnalyst
· 07-29 08:22
من تحليل بيانات داخل السلسلة، فإن قفل الأصول هذا يؤثر على TVL بنسبة تقارب 27%... يبدو أن بعض المشاريع لا تزال تستخدم الشيفرة القديمة من قبل خمس سنوات.
شاهد النسخة الأصليةرد0
NFTArtisanHQ
· 07-29 08:22
مثير للاهتمام كيف تعكس العقود الذكية هشاشة الجماليات ما بعد الرقمية بصراحة...
كشف عن ثغرات في عقود مشاريع المقتنيات الرقمية، مما أدى إلى قفل دائم لأموال بقيمة 34 مليون دولار.
مؤخراً، اكتشفت شركة أمان وجود ثغرتين خطيرتين في عقد أحد المقتنيات الرقمية، مما أثار اهتماماً واسعاً في الصناعة. قد تؤدي هاتان الثغرتان إلى عواقب وخيمة تتمثل في قفل أصول المستخدمين وعدم قدرة فريق المشروع على سحب الأموال.
الثغرة الأولى موجودة في دالة معالجة الاسترداد. تقوم هذه الدالة بإجراء استرداد لجميع المستخدمين عبر حلقة، ولكن إذا كان هناك مستخدم عقد خبيث ضمنهم، فقد يؤدي ذلك إلى توقف عملية الاسترداد بالكامل، مما يؤدي إلى قفل أصول جميع المستخدمين. لحسن الحظ، لم يتم استغلال هذه الثغرة فعليًا.
في مثل هذه الحالات، ينصح الخبراء في الصناعة فريق المشروع باتخاذ التدابير الأمنية التالية:
الثغرة الثانية ناتجة عن خطأ في البرمجة. في دالة استخراج أموال المشروع، تم استخدام متغير خاطئ للمقارنة في شرط أساسي. وهذا أدى إلى عدم إمكانية تحقيق شرط الحكم، مما أدى إلى احتجاز أموال الفريق المشروع (أكثر من 34 مليون دولار) بشكل دائم في العقد.
!
هذا الحدث يبرز مرة أخرى أنه حتى المشاريع المعروفة يمكن أن تحدث فيها أخطاء بدائية. دعا الخبراء فريق المشروع إلى كتابة حالات اختبار كافية خلال عملية التطوير وزيادة الوعي الأمني الأساسي. على الرغم من أن التدقيق الأمني أصبح ممارسة شائعة في مجال DeFi، إلا أن هناك نقصًا واضحًا في التدقيق الأمني في مشاريع المقتنيات الرقمية، وهذا الحدث هو مثال نموذجي على ذلك.
!
تذكر هذه الحادثة مرة أخرى المعنيين في الصناعة أنه مع التطور السريع لتكنولوجيا blockchain، لا يمكن تجاهل أمان المشروع. سواء كان فريق التطوير أو المستثمرين، يجب عليهم إيلاء المزيد من الاهتمام لأمان العقود الذكية لتجنب حدوث خسائر ضخمة مماثلة مرة أخرى.
!