Недавно одна из компаний по безопасности обнаружила два серьезных уязвимости в контракте цифрового коллекционного предмета, что вызвало широкий интерес в отрасли. Эти две уязвимости могут привести к серьезным последствиям, таким как блокировка активов пользователей и невозможность вывода средств командой проекта.
Первый уязвимость существует в функции обработки возврата. Эта функция выполняет возврат средств для всех пользователей в цикле, но если среди них есть пользователь с вредоносным контрактом, это может привести к прерыванию всего процесса возврата и блокировке активов всех пользователей. К счастью, эта уязвимость не была фактически использована.
В таких случаях эксперты отрасли рекомендуют команде проекта принять следующие меры безопасности:
Ограничение, что только аккаунты обычных пользователей могут участвовать в проекте
Используйте такие ERC20 токены, как WETH, вместо нативных активов
Разработать механизм для пользователей, позволяющий им самостоятельно запрашивать возврат средств, чтобы избежать массовых возвратов.
Вторая уязвимость была вызвана ошибкой программирования. В функции извлечения средств проекта одно из ключевых условий сравнения использовало неверную переменную. Это привело к тому, что условие никогда не могло быть выполнено, и средства команды проекта (более 34 миллионов долларов) были навсегда заблокированы в контракте.
!
Это событие еще раз подчеркивает, что даже у известных проектов могут возникнуть примитивные ошибки. Эксперты призывают команду проекта при разработке составлять достаточное количество тестовых случаев и развивать базовое понимание безопасности. Хотя в области DeFi безопасность аудита стала обычной практикой, в проектах цифровых коллекционных предметов все еще наблюдается явная нехватка, и это событие является типичным примером.
!
Данный инцидент вновь напоминает профессионалам отрасли о том, что, несмотря на быстрые темпы развития технологии блокчейн, безопасность проектов нельзя игнорировать. Как команде проекта, так и инвесторам следует уделять больше внимания безопасности смарт-контрактов, чтобы избежать повторения подобных огромных убытков.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
7 Лайков
Награда
7
5
Поделиться
комментарий
0/400
BrokeBeans
· 07-29 08:23
Ну и что, кто вам не дает тестировать?
Посмотреть ОригиналОтветить0
AltcoinAnalyst
· 07-29 08:22
Согласно анализу данных в блокчейне, данное блокирование активов влияет на TVL примерно на 27%... Похоже, что некоторые проекты все еще используют старый код пятилетней давности.
Посмотреть ОригиналОтветить0
NFTArtisanHQ
· 07-29 08:22
удивительно, как смарт-контракты отражают хрупкость постцифровой эстетики, если честно...
Уязвимость контракта проекта цифровых коллекционных предметов привела к блокировке 34 миллиона долларов навсегда.
Недавно одна из компаний по безопасности обнаружила два серьезных уязвимости в контракте цифрового коллекционного предмета, что вызвало широкий интерес в отрасли. Эти две уязвимости могут привести к серьезным последствиям, таким как блокировка активов пользователей и невозможность вывода средств командой проекта.
Первый уязвимость существует в функции обработки возврата. Эта функция выполняет возврат средств для всех пользователей в цикле, но если среди них есть пользователь с вредоносным контрактом, это может привести к прерыванию всего процесса возврата и блокировке активов всех пользователей. К счастью, эта уязвимость не была фактически использована.
В таких случаях эксперты отрасли рекомендуют команде проекта принять следующие меры безопасности:
Вторая уязвимость была вызвана ошибкой программирования. В функции извлечения средств проекта одно из ключевых условий сравнения использовало неверную переменную. Это привело к тому, что условие никогда не могло быть выполнено, и средства команды проекта (более 34 миллионов долларов) были навсегда заблокированы в контракте.
!
Это событие еще раз подчеркивает, что даже у известных проектов могут возникнуть примитивные ошибки. Эксперты призывают команду проекта при разработке составлять достаточное количество тестовых случаев и развивать базовое понимание безопасности. Хотя в области DeFi безопасность аудита стала обычной практикой, в проектах цифровых коллекционных предметов все еще наблюдается явная нехватка, и это событие является типичным примером.
!
Данный инцидент вновь напоминает профессионалам отрасли о том, что, несмотря на быстрые темпы развития технологии блокчейн, безопасность проектов нельзя игнорировать. Как команде проекта, так и инвесторам следует уделять больше внимания безопасности смарт-контрактов, чтобы избежать повторения подобных огромных убытков.
!