اكتشف فريق BlockSec مؤخرًا وجود ثغرتين خطيرتين في عقد رقمي لل collectibles. يمكن أن تؤدي هاتان الثغرتان إلى قفل أصول المستخدمين وعدم تمكن فريق المشروع من سحب أكثر من 34 مليون دولار.
!
الثغرة الأولى تتعلق بوظيفة استرداد الأموال. تستخدم دالة الاسترداد في العقد حلقة لاسترداد الأموال لجميع المستخدمين، لكن إذا كان أحد هؤلاء المستخدمين عقدًا خبيثًا، فقد يرفض استلام المبلغ المسترد مما يؤدي إلى فشل الصفقة بأكملها. سيمنع ذلك جميع المستخدمين من الحصول على استرداد. لحسن الحظ، لم يتم استغلال هذه الثغرة.
بالنسبة للمشاريع التي لديها حاجة لاسترجاع الأموال، يُنصح باتخاذ التدابير الأمنية التالية:
يجب أن يكون المشاركون مقصورين على الحسابات الخارجية المملوكة (EOA)
استخدم رموز ERC20 مثل WETH بدلاً من الأصول الأصلية
تصميم آلية للمستخدمين لتقديم طلبات استرداد الأموال بشكل نشط، لتجنب الاسترداد الجماعي
!
الثغرة الثانية هي خطأ في الكود. في دالة استخراج أموال المشروع، يوجد خطأ في شرط المقارنة. يجب أن تقارن الدالة تقدم الاسترداد مع فهرس العطاء، لكنها تقارن بشكل خاطئ مع العدد الإجمالي للعطاءات. نظرًا لأن تقدم الاسترداد سيكون دائمًا أقل من العدد الإجمالي للعطاءات، ولن يزداد مرة أخرى، فإن الشرط لن يتحقق أبدًا. وهذا يجعل فريق المشروع غير قادر على استخراج الأموال المقيدة في العقد.
تسلط هذه الثغرات الضوء مرة أخرى على أن المشاريع المعروفة قد تواجه أيضًا أخطاء أساسية. يحتاج فريق المشروع إلى كتابة عدد كافٍ من حالات الاختبار ويجب أن يكون لديه الوعي الأساسي بالأمان. على الرغم من أن تدقيق الأمان أصبح ممارسة شائعة في مجال التمويل اللامركزي، إلا أنه لا يزال غير كافٍ في مشاريع المقتنيات الرقمية، وقد تسبب هذا الحدث في خسائر ضخمة.
تذكرنا هذه الحادثة بأن المشاريع التي تحظى باهتمام كبير قد تحتوي أيضًا على ثغرات خطيرة. ويبرز أهمية إجراء تدقيق أمني شامل في تطوير مشاريع البلوكشين، خاصة عند التعامل مع مبالغ كبيرة من المال. يجب أن تولي فريق المشروع مزيدًا من الأهمية لأمان العقود، لمنع حدوث أخطاء مكلفة مماثلة.
!
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 12
أعجبني
12
5
مشاركة
تعليق
0/400
WhaleMistaker
· منذ 26 د
في هذا الزمن لا يزال بإمكانك الكتابة بهذه الطريقة
شاهد النسخة الأصليةرد0
QuorumVoter
· 08-04 12:28
هبوط麻了 هذه العقدة من يجرؤ على دفع المال فيها
شاهد النسخة الأصليةرد0
Ser_APY_2000
· 08-04 12:20
ثلاثين مليون دولار هكذا تم حجزها؟ يا إلهي... هذا غير معقول
شاهد النسخة الأصليةرد0
MidnightMEVeater
· 08-04 12:12
مرة أخرى تم إغلاقه؟ هذه المجموعة من الحمقى تستحق أن تكون بقايا في الثلاجة
اكتشفت BlockSec ثغرتين كبيرتين في عقد المقتنيات الرقمية، مما أدى إلى احتجاز أموال بقيمة 34 مليون دولار.
اكتشف فريق BlockSec مؤخرًا وجود ثغرتين خطيرتين في عقد رقمي لل collectibles. يمكن أن تؤدي هاتان الثغرتان إلى قفل أصول المستخدمين وعدم تمكن فريق المشروع من سحب أكثر من 34 مليون دولار.
!
الثغرة الأولى تتعلق بوظيفة استرداد الأموال. تستخدم دالة الاسترداد في العقد حلقة لاسترداد الأموال لجميع المستخدمين، لكن إذا كان أحد هؤلاء المستخدمين عقدًا خبيثًا، فقد يرفض استلام المبلغ المسترد مما يؤدي إلى فشل الصفقة بأكملها. سيمنع ذلك جميع المستخدمين من الحصول على استرداد. لحسن الحظ، لم يتم استغلال هذه الثغرة.
بالنسبة للمشاريع التي لديها حاجة لاسترجاع الأموال، يُنصح باتخاذ التدابير الأمنية التالية:
!
الثغرة الثانية هي خطأ في الكود. في دالة استخراج أموال المشروع، يوجد خطأ في شرط المقارنة. يجب أن تقارن الدالة تقدم الاسترداد مع فهرس العطاء، لكنها تقارن بشكل خاطئ مع العدد الإجمالي للعطاءات. نظرًا لأن تقدم الاسترداد سيكون دائمًا أقل من العدد الإجمالي للعطاءات، ولن يزداد مرة أخرى، فإن الشرط لن يتحقق أبدًا. وهذا يجعل فريق المشروع غير قادر على استخراج الأموال المقيدة في العقد.
تسلط هذه الثغرات الضوء مرة أخرى على أن المشاريع المعروفة قد تواجه أيضًا أخطاء أساسية. يحتاج فريق المشروع إلى كتابة عدد كافٍ من حالات الاختبار ويجب أن يكون لديه الوعي الأساسي بالأمان. على الرغم من أن تدقيق الأمان أصبح ممارسة شائعة في مجال التمويل اللامركزي، إلا أنه لا يزال غير كافٍ في مشاريع المقتنيات الرقمية، وقد تسبب هذا الحدث في خسائر ضخمة.
تذكرنا هذه الحادثة بأن المشاريع التي تحظى باهتمام كبير قد تحتوي أيضًا على ثغرات خطيرة. ويبرز أهمية إجراء تدقيق أمني شامل في تطوير مشاريع البلوكشين، خاصة عند التعامل مع مبالغ كبيرة من المال. يجب أن تولي فريق المشروع مزيدًا من الأهمية لأمان العقود، لمنع حدوث أخطاء مكلفة مماثلة.
!