Gần đây, một công ty an ninh đã phát hiện ra rằng một hợp đồng kỹ thuật số có hai lỗ hổng nghiêm trọng, gây ra sự chú ý rộng rãi trong ngành. Hai lỗ hổng này có thể dẫn đến hậu quả nghiêm trọng là tài sản của người dùng bị khóa và Bên dự án không thể rút tiền.
Lỗ hổng đầu tiên tồn tại trong hàm xử lý hoàn tiền. Hàm này thực hiện hoàn tiền cho tất cả người dùng qua vòng lặp, nhưng nếu có người dùng là hợp đồng độc hại, điều này có thể dẫn đến việc toàn bộ quá trình hoàn tiền bị gián đoạn, từ đó khóa tài sản của tất cả người dùng. May mắn thay, lỗ hổng này chưa được khai thác thực tế.
Đối với tình huống này, các chuyên gia trong ngành khuyên rằng bên dự án có thể thực hiện các biện pháp an toàn sau đây:
Hạn chế chỉ có tài khoản người dùng thông thường mới có thể tham gia dự án
Sử dụng các token ERC20 như WETH thay thế cho tài sản gốc
Thiết kế cơ chế người dùng chủ động yêu cầu hoàn tiền, tránh hoàn tiền hàng loạt
Lỗ hổng thứ hai là do một lỗi lập trình gây ra. Trong hàm rút tiền của dự án, một điều kiện then chốt đã sử dụng biến sai để so sánh. Điều này dẫn đến việc điều kiện không bao giờ được đáp ứng, và do đó, số tiền của bên dự án (hơn 34 triệu USD) đã bị khóa vĩnh viễn trong hợp đồng.
Sự kiện này một lần nữa làm nổi bật rằng ngay cả những dự án nổi tiếng cũng có thể mắc phải những sai lầm cơ bản. Các chuyên gia kêu gọi, bên dự án nên viết đầy đủ các trường hợp kiểm tra trong quá trình phát triển và nuôi dưỡng ý thức an toàn cơ bản. Mặc dù trong lĩnh vực DeFi, kiểm toán an toàn đã trở thành một thực tiễn thông thường, nhưng trong các dự án tài sản số, kiểm toán an toàn vẫn còn thiếu sót rõ rệt, sự kiện này là một ví dụ điển hình.
Sự kiện này một lần nữa nhắc nhở những người trong ngành rằng, trong khi công nghệ blockchain đang phát triển nhanh chóng, an toàn dự án không thể bị bỏ qua. Dù là đội ngũ phát triển hay nhà đầu tư, tất cả đều nên chú trọng hơn đến tính an toàn của hợp đồng thông minh để tránh những tổn thất lớn tương tự xảy ra lần nữa.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
7 thích
Phần thưởng
7
5
Chia sẻ
Bình luận
0/400
BrokeBeans
· 20giờ trước
Đáng đời, ai bảo các bạn không thử nghiệm.
Xem bản gốcTrả lời0
AltcoinAnalyst
· 20giờ trước
Từ phân tích dữ liệu on-chain, việc khóa tài sản lần này ảnh hưởng khoảng 27% đến TVL... có vẻ như một số dự án vẫn đang sử dụng mã cũ từ năm năm trước.
Xem bản gốcTrả lời0
NFTArtisanHQ
· 20giờ trước
thú vị làm sao hợp đồng thông minh phản ánh sự mong manh của thẩm mỹ hậu kỹ thuật số thật ra...
Lỗ hổng hợp đồng dự án tài sản số bị lộ, 34 triệu USD vốn bị khóa vĩnh viễn.
Gần đây, một công ty an ninh đã phát hiện ra rằng một hợp đồng kỹ thuật số có hai lỗ hổng nghiêm trọng, gây ra sự chú ý rộng rãi trong ngành. Hai lỗ hổng này có thể dẫn đến hậu quả nghiêm trọng là tài sản của người dùng bị khóa và Bên dự án không thể rút tiền.
Lỗ hổng đầu tiên tồn tại trong hàm xử lý hoàn tiền. Hàm này thực hiện hoàn tiền cho tất cả người dùng qua vòng lặp, nhưng nếu có người dùng là hợp đồng độc hại, điều này có thể dẫn đến việc toàn bộ quá trình hoàn tiền bị gián đoạn, từ đó khóa tài sản của tất cả người dùng. May mắn thay, lỗ hổng này chưa được khai thác thực tế.
Đối với tình huống này, các chuyên gia trong ngành khuyên rằng bên dự án có thể thực hiện các biện pháp an toàn sau đây:
Lỗ hổng thứ hai là do một lỗi lập trình gây ra. Trong hàm rút tiền của dự án, một điều kiện then chốt đã sử dụng biến sai để so sánh. Điều này dẫn đến việc điều kiện không bao giờ được đáp ứng, và do đó, số tiền của bên dự án (hơn 34 triệu USD) đã bị khóa vĩnh viễn trong hợp đồng.
Sự kiện này một lần nữa làm nổi bật rằng ngay cả những dự án nổi tiếng cũng có thể mắc phải những sai lầm cơ bản. Các chuyên gia kêu gọi, bên dự án nên viết đầy đủ các trường hợp kiểm tra trong quá trình phát triển và nuôi dưỡng ý thức an toàn cơ bản. Mặc dù trong lĩnh vực DeFi, kiểm toán an toàn đã trở thành một thực tiễn thông thường, nhưng trong các dự án tài sản số, kiểm toán an toàn vẫn còn thiếu sót rõ rệt, sự kiện này là một ví dụ điển hình.
Sự kiện này một lần nữa nhắc nhở những người trong ngành rằng, trong khi công nghệ blockchain đang phát triển nhanh chóng, an toàn dự án không thể bị bỏ qua. Dù là đội ngũ phát triển hay nhà đầu tư, tất cả đều nên chú trọng hơn đến tính an toàn của hợp đồng thông minh để tránh những tổn thất lớn tương tự xảy ra lần nữa.