На днях известная компания по безопасности смарт-контрактов обнаружила два серьезных уязвимости в смарт-контрактах одного из проектов цифровых коллекционных предметов. Эти две уязвимости могут привести к блокировке активов пользователей и невозможности вывода средств командой проекта.
Первый уязвимость существует в функции возврата средств. Эта функция использует цикл для возврата средств всем пользователям, но если объект возврата — это вредоносный смарт-контракт, он может отказать в получении возврата и привести к сбою транзакции. Это помешает всем пользователям получить возврат. К счастью, эта уязвимость не была фактически использована.
Чтобы избежать подобных проблем, эксперты рекомендуют команде проекта предпринять следующие меры для обеспечения безопасного возврата средств:
Ограничение, что только личные аккаунты пользователей могут участвовать в проекте
Используйте токены ERC20 вместо нативных активов
Разработать функцию, позволяющую пользователю самостоятельно запрашивать возврат, чтобы избежать массовых возвратов.
!
Вторая уязвимость вызвана логической ошибкой в коде. В функции извлечения средств проекта есть условие, но объект для сравнения ошибочен. Это приводит к тому, что условие никогда не может быть выполнено, и команда проекта не может извлечь средства из контракта. По оценкам, в настоящее время около 34 миллионов долларов активов заблокировано в контракте.
!
Это событие вновь подчеркивает, что даже у известных проектов могут возникать фундаментальные ошибки. Команда проекта должна разрабатывать достаточное количество тестовых случаев при написании смарт-контрактов и иметь базовое понимание безопасности. Хотя в области децентрализованных финансов аудит безопасности стал обычной практикой, в проектах цифровых коллекционных предметов он все еще отсутствует. Это пренебрежение может привести к огромным финансовым потерям.
Это событие напоминает нам о том, что с постоянным развитием технологий блокчейн команда проекта должна уделять больше внимания безопасности смарт-контрактов для защиты интересов пользователей и своих собственных.
!
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
В проекте цифровых коллекционных предметов обнаружены двойные уязвимости, активы на сумму 34 миллиона долларов могут быть заблокированы.
На днях известная компания по безопасности смарт-контрактов обнаружила два серьезных уязвимости в смарт-контрактах одного из проектов цифровых коллекционных предметов. Эти две уязвимости могут привести к блокировке активов пользователей и невозможности вывода средств командой проекта.
Первый уязвимость существует в функции возврата средств. Эта функция использует цикл для возврата средств всем пользователям, но если объект возврата — это вредоносный смарт-контракт, он может отказать в получении возврата и привести к сбою транзакции. Это помешает всем пользователям получить возврат. К счастью, эта уязвимость не была фактически использована.
Чтобы избежать подобных проблем, эксперты рекомендуют команде проекта предпринять следующие меры для обеспечения безопасного возврата средств:
!
Вторая уязвимость вызвана логической ошибкой в коде. В функции извлечения средств проекта есть условие, но объект для сравнения ошибочен. Это приводит к тому, что условие никогда не может быть выполнено, и команда проекта не может извлечь средства из контракта. По оценкам, в настоящее время около 34 миллионов долларов активов заблокировано в контракте.
!
Это событие вновь подчеркивает, что даже у известных проектов могут возникать фундаментальные ошибки. Команда проекта должна разрабатывать достаточное количество тестовых случаев при написании смарт-контрактов и иметь базовое понимание безопасности. Хотя в области децентрализованных финансов аудит безопасности стал обычной практикой, в проектах цифровых коллекционных предметов он все еще отсутствует. Это пренебрежение может привести к огромным финансовым потерям.
Это событие напоминает нам о том, что с постоянным развитием технологий блокчейн команда проекта должна уделять больше внимания безопасности смарт-контрактов для защиты интересов пользователей и своих собственных.
!