Недавно в смарт-контрактах проекта цифровых коллекционных предметов были обнаружены два重大漏洞, что вызвало широкое следование в отрасли. Эти два漏洞 могут привести к серьезным последствиям, включая блокировку активов пользователей и невозможность вывода средств командой проекта.
Первый уязвимость возникла в функции обработки возврата. Эта функция использует цикл для возврата средств всем пользователям, но если объект возврата является вредоносным смарт-контрактом, это может привести к прерыванию всего процесса возврата. Хотя эта уязвимость в конечном итоге не была использована, все же существует потенциальный риск.
Чтобы избежать подобных проблем, рекомендуется, чтобы команда проекта при разработке механизма возврата средств учитывала следующие моменты:
Ограничить участников только внешними аккаунтами (EOA)
Используйте стандартизированные активы, такие как токены ERC20, вместо нативных активов
Реализовать функцию активного запроса возврата пользователем, а не массового возврата.
!
Вторая уязвимость более серьезна, она напрямую влияет на функцию команды проекта по извлечению средств. В функции извлечения средств имеется логическая ошибка, из-за которой условие никогда не может быть выполнено. Эта ошибка привела к тому, что более 34 миллионов долларов активов были навсегда заблокированы в смарт-контрактах и не могут быть извлечены.
!
Обнаружение этих двух уязвимостей вновь подчеркивает важность безопасности аудита в процессе разработки проектов. Несмотря на то, что в области децентрализованных финансов (DeFi) безопасность аудита стала обычной практикой, в проектах цифровых коллекционных предметов этот этап, похоже, по-прежнему игнорируется. Огромные потери, вызванные этим инцидентом, безусловно, стали тревожным сигналом для отрасли.
Команда проекта в процессе разработки должна не только писать полные тестовые случаи, но и иметь базовое понимание безопасности. Особенно для известных проектов, появление таких низких ошибок вызывает удивление. Этот инцидент также напоминает нам, что даже самые заметные проекты могут иметь серьезные проблемы с безопасностью.
В целом, этот инцидент еще раз подчеркивает, что безопасность и функциональность одинаково важны при разработке блокчейн-проектов. Команда проекта должна уделять внимание аудиту кода, создавать надежные механизмы безопасности для защиты интересов пользователей и собственных интересов. В то же время это также служит сигналом для всей отрасли, напоминающим всем участникам оставаться бдительными и совместно поддерживать здоровое развитие экосистемы.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
8 Лайков
Награда
8
6
Репост
Поделиться
комментарий
0/400
GhostInTheChain
· 8ч назад
Снова смарт-контракты отошли в небытие~
Посмотреть ОригиналОтветить0
NFTArchaeologis
· 08-13 18:03
Согласно истории уязвимостей Meebits за позапрошлый год, это классическая проблема стандартов в блокчейне.
Посмотреть ОригиналОтветить0
SchrodingersFOMO
· 08-13 18:01
Снова разыгрывайте людей как лохов и смылись.
Посмотреть ОригиналОтветить0
GamefiEscapeArtist
· 08-13 17:59
Опять смарт-контракты взорвались?
Посмотреть ОригиналОтветить0
MetaNeighbor
· 08-13 17:39
Снова пришёл бездельничать? Три миллиона не удаётся вывести.
Уязвимость проекта цифровых коллекционных предметов раскрыта, активы на сумму 34 миллиона долларов навсегда заблокированы.
Недавно в смарт-контрактах проекта цифровых коллекционных предметов были обнаружены два重大漏洞, что вызвало широкое следование в отрасли. Эти два漏洞 могут привести к серьезным последствиям, включая блокировку активов пользователей и невозможность вывода средств командой проекта.
Первый уязвимость возникла в функции обработки возврата. Эта функция использует цикл для возврата средств всем пользователям, но если объект возврата является вредоносным смарт-контрактом, это может привести к прерыванию всего процесса возврата. Хотя эта уязвимость в конечном итоге не была использована, все же существует потенциальный риск.
Чтобы избежать подобных проблем, рекомендуется, чтобы команда проекта при разработке механизма возврата средств учитывала следующие моменты:
!
Вторая уязвимость более серьезна, она напрямую влияет на функцию команды проекта по извлечению средств. В функции извлечения средств имеется логическая ошибка, из-за которой условие никогда не может быть выполнено. Эта ошибка привела к тому, что более 34 миллионов долларов активов были навсегда заблокированы в смарт-контрактах и не могут быть извлечены.
!
Обнаружение этих двух уязвимостей вновь подчеркивает важность безопасности аудита в процессе разработки проектов. Несмотря на то, что в области децентрализованных финансов (DeFi) безопасность аудита стала обычной практикой, в проектах цифровых коллекционных предметов этот этап, похоже, по-прежнему игнорируется. Огромные потери, вызванные этим инцидентом, безусловно, стали тревожным сигналом для отрасли.
Команда проекта в процессе разработки должна не только писать полные тестовые случаи, но и иметь базовое понимание безопасности. Особенно для известных проектов, появление таких низких ошибок вызывает удивление. Этот инцидент также напоминает нам, что даже самые заметные проекты могут иметь серьезные проблемы с безопасностью.
В целом, этот инцидент еще раз подчеркивает, что безопасность и функциональность одинаково важны при разработке блокчейн-проектов. Команда проекта должна уделять внимание аудиту кода, создавать надежные механизмы безопасности для защиты интересов пользователей и собственных интересов. В то же время это также служит сигналом для всей отрасли, напоминающим всем участникам оставаться бдительными и совместно поддерживать здоровое развитие экосистемы.
!