Baru-baru ini, sebuah perusahaan keamanan menemukan dua kerentanan serius dalam kontrak koleksi digital, yang menarik perhatian luas di industri. Kedua kerentanan ini dapat menyebabkan aset pengguna terkunci dan dana tim proyek tidak dapat ditarik.
Vulnerability pertama terletak pada fungsi pengolahan pengembalian dana. Fungsi ini melakukan pengembalian dana untuk semua pengguna melalui sebuah loop, tetapi jika terdapat pengguna dengan kontrak jahat, hal ini dapat menyebabkan seluruh proses pengembalian dana terhenti, yang mengakibatkan terkuncinya aset semua pengguna. Untungnya, kerentanan ini tidak dimanfaatkan secara nyata.
Dalam situasi seperti ini, para ahli industri menyarankan agar tim proyek dapat mengambil langkah-langkah keamanan berikut:
Pembatasan hanya akun pengguna biasa yang dapat berpartisipasi dalam proyek
Menggunakan token ERC20 seperti WETH sebagai pengganti aset asli
Rancang mekanisme bagi pengguna untuk secara aktif mengajukan permohonan pengembalian dana, untuk menghindari pengembalian dana secara massal.
Kedua celah tersebut disebabkan oleh kesalahan pemrograman. Dalam fungsi penarikan dana proyek, sebuah kondisi penting menggunakan variabel yang salah untuk perbandingan. Hal ini menyebabkan kondisi penilaian tidak pernah terpenuhi, sehingga dana tim proyek (lebih dari 34 juta dolar AS) terkunci selamanya dalam kontrak.
Kejadian ini sekali lagi menyoroti bahwa bahkan proyek terkenal pun dapat mengalami kesalahan mendasar. Para ahli mendesak agar tim proyek menulis cukup kasus pengujian selama proses pengembangan dan membangun kesadaran keamanan dasar. Meskipun di bidang DeFi, audit keamanan telah menjadi praktik umum, tetapi dalam proyek koleksi digital, audit keamanan masih kurang jelas, dan kejadian kali ini adalah contoh tipikal.
Kejadian ini kembali mengingatkan para pelaku industri bahwa, meskipun teknologi blockchain berkembang pesat, keamanan proyek tidak boleh diabaikan. Baik tim proyek maupun investor harus lebih memperhatikan keamanan kontrak pintar untuk menghindari kerugian besar serupa terjadi lagi.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
7 Suka
Hadiah
7
5
Bagikan
Komentar
0/400
BrokeBeans
· 20jam yang lalu
Ya pantas saja, siapa yang menyuruh kalian tidak menguji.
Lihat AsliBalas0
AltcoinAnalyst
· 20jam yang lalu
Dari analisis data on-chain, penguncian aset kali ini berdampak sekitar 27% pada TVL... sepertinya beberapa proyek masih menggunakan kode lama dari lima tahun yang lalu.
Lihat AsliBalas0
NFTArtisanHQ
· 20jam yang lalu
menarik bagaimana smart contract mencerminkan kerapuhan estetika pasca-digital sejujurnya...
Proyek koleksi digital memiliki kerentanan kontrak yang terungkap, 34 juta dolar AS dana terkunci permanen.
Baru-baru ini, sebuah perusahaan keamanan menemukan dua kerentanan serius dalam kontrak koleksi digital, yang menarik perhatian luas di industri. Kedua kerentanan ini dapat menyebabkan aset pengguna terkunci dan dana tim proyek tidak dapat ditarik.
Vulnerability pertama terletak pada fungsi pengolahan pengembalian dana. Fungsi ini melakukan pengembalian dana untuk semua pengguna melalui sebuah loop, tetapi jika terdapat pengguna dengan kontrak jahat, hal ini dapat menyebabkan seluruh proses pengembalian dana terhenti, yang mengakibatkan terkuncinya aset semua pengguna. Untungnya, kerentanan ini tidak dimanfaatkan secara nyata.
Dalam situasi seperti ini, para ahli industri menyarankan agar tim proyek dapat mengambil langkah-langkah keamanan berikut:
Kedua celah tersebut disebabkan oleh kesalahan pemrograman. Dalam fungsi penarikan dana proyek, sebuah kondisi penting menggunakan variabel yang salah untuk perbandingan. Hal ini menyebabkan kondisi penilaian tidak pernah terpenuhi, sehingga dana tim proyek (lebih dari 34 juta dolar AS) terkunci selamanya dalam kontrak.
Kejadian ini sekali lagi menyoroti bahwa bahkan proyek terkenal pun dapat mengalami kesalahan mendasar. Para ahli mendesak agar tim proyek menulis cukup kasus pengujian selama proses pengembangan dan membangun kesadaran keamanan dasar. Meskipun di bidang DeFi, audit keamanan telah menjadi praktik umum, tetapi dalam proyek koleksi digital, audit keamanan masih kurang jelas, dan kejadian kali ini adalah contoh tipikal.
Kejadian ini kembali mengingatkan para pelaku industri bahwa, meskipun teknologi blockchain berkembang pesat, keamanan proyek tidak boleh diabaikan. Baik tim proyek maupun investor harus lebih memperhatikan keamanan kontrak pintar untuk menghindari kerugian besar serupa terjadi lagi.