BlockSec ekibi, yakın zamanda bir dijital koleksiyon sözleşmesinde iki ciddi güvenlik açığı tespit etti. Bu iki açık, kullanıcı varlıklarının kilitlenmesine ve proje ekibinin 34 milyon dolardan fazla fonu çekememesine neden olabilir.
İlk açık, geri ödeme işlevini içeriyor. Sözleşmedeki geri ödeme fonksiyonu, tüm kullanıcılar için geri ödeme yapmak üzere döngü kullanıyor, ancak bu kullanıcılardan biri kötü niyetli bir sözleşme ise, geri ödemeyi kabul etmeyi reddedebilir ve tüm işlemin başarısız olmasına neden olabilir. Bu, tüm kullanıcıların geri ödeme almasını engelleyecektir. Neyse ki, bu açık kullanılmadı.
Refund talebi olan projeler için aşağıdaki güvenlik önlemlerinin alınması önerilir:
Katılımcılar yalnızca dışarıdan sahip olunan hesaplar (EOA) olabilir.
Yerel varlıklar yerine WETH gibi ERC20 tokenleri kullanın.
Kullanıcıların aktif olarak geri ödeme talep etme mekanizmasını tasarlamak, toplu geri ödemeleri önlemek.
İkinci açık bir kod hatasıdır. Proje fonlarını çekme fonksiyonunda bir koşul kontrol hatası bulunmaktadır. Bu fonksiyon, iade ilerlemesini teklif indeksleri ile karşılaştırmalıdır, ancak yanlışlıkla toplam teklif sayısı ile karşılaştırılmıştır. İade ilerlemesi asla toplam teklif sayısından küçük olamayacağı ve artık artmadığı için koşul asla sağlanamaz. Bu durum, Proje Ekibi'nin sözleşmede kilitli olan fonları çekmesini engellemektedir.
Bu açıklar, tanınmış projelerin de temel hatalar yapabileceğini bir kez daha gözler önüne serdi. Geliştirme ekibi, yeterli test senaryoları yazmalı ve temel güvenlik bilincine sahip olmalıdır. Merkeziyetsiz finans alanında güvenlik denetimleri artık rutin bir uygulama haline gelirken, dijital koleksiyon projelerinde hala yetersiz kalmaktadır; bu olay büyük kayıplara yol açtı.
Bu olay, dikkatlice izlenen projelerin bile ciddi güvenlik açıklarına sahip olabileceğini hatırlatıyor. Özellikle büyük miktarda fonla işlem yaparken, blockchain projelerinin geliştirilmesinde kapsamlı güvenlik denetimlerinin önemini vurguluyor. Proje Ekibi, benzer pahalı hataların meydana gelmesini engellemek için sözleşme güvenliğine daha fazla önem vermelidir.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
12 Likes
Reward
12
5
Share
Comment
0/400
WhaleMistaker
· 28m ago
Bu yılda böyle yazılabiliyor.
View OriginalReply0
QuorumVoter
· 08-04 12:28
düşüş yaptı bu sözleşme Kim parayı yatırmaya cesaret eder
View OriginalReply0
Ser_APY_2000
· 08-04 12:20
Otuz milyon dolar bu şekilde mi sıkıştı? Ahh... gerçekten saçmalık.
View OriginalReply0
MidnightMEVeater
· 08-04 12:12
Yine mi kilitlendi? Bu enayiler buzdolabındaki artıklara layık.
BlockSec, dijital koleksiyon sözleşmelerinde iki büyük güvenlik açığı tespit etti, 34 milyon dolarlık fon sıkıştı.
BlockSec ekibi, yakın zamanda bir dijital koleksiyon sözleşmesinde iki ciddi güvenlik açığı tespit etti. Bu iki açık, kullanıcı varlıklarının kilitlenmesine ve proje ekibinin 34 milyon dolardan fazla fonu çekememesine neden olabilir.
İlk açık, geri ödeme işlevini içeriyor. Sözleşmedeki geri ödeme fonksiyonu, tüm kullanıcılar için geri ödeme yapmak üzere döngü kullanıyor, ancak bu kullanıcılardan biri kötü niyetli bir sözleşme ise, geri ödemeyi kabul etmeyi reddedebilir ve tüm işlemin başarısız olmasına neden olabilir. Bu, tüm kullanıcıların geri ödeme almasını engelleyecektir. Neyse ki, bu açık kullanılmadı.
Refund talebi olan projeler için aşağıdaki güvenlik önlemlerinin alınması önerilir:
İkinci açık bir kod hatasıdır. Proje fonlarını çekme fonksiyonunda bir koşul kontrol hatası bulunmaktadır. Bu fonksiyon, iade ilerlemesini teklif indeksleri ile karşılaştırmalıdır, ancak yanlışlıkla toplam teklif sayısı ile karşılaştırılmıştır. İade ilerlemesi asla toplam teklif sayısından küçük olamayacağı ve artık artmadığı için koşul asla sağlanamaz. Bu durum, Proje Ekibi'nin sözleşmede kilitli olan fonları çekmesini engellemektedir.
Bu açıklar, tanınmış projelerin de temel hatalar yapabileceğini bir kez daha gözler önüne serdi. Geliştirme ekibi, yeterli test senaryoları yazmalı ve temel güvenlik bilincine sahip olmalıdır. Merkeziyetsiz finans alanında güvenlik denetimleri artık rutin bir uygulama haline gelirken, dijital koleksiyon projelerinde hala yetersiz kalmaktadır; bu olay büyük kayıplara yol açtı.
Bu olay, dikkatlice izlenen projelerin bile ciddi güvenlik açıklarına sahip olabileceğini hatırlatıyor. Özellikle büyük miktarda fonla işlem yaparken, blockchain projelerinin geliştirilmesinde kapsamlı güvenlik denetimlerinin önemini vurguluyor. Proje Ekibi, benzer pahalı hataların meydana gelmesini engellemek için sözleşme güvenliğine daha fazla önem vermelidir.