Baru-baru ini, sebuah perusahaan keamanan menemukan dua celah serius dalam kontrak koleksi digital, yang memicu perhatian luas di industri ini. Kedua celah tersebut dapat menyebabkan aset pengguna ter鎖 dan dana tim proyek tidak dapat dicairkan.
Kelemahan pertama terletak pada fungsi pengembalian dana. Fungsi ini melakukan pengembalian dana untuk semua pengguna secara berulang, tetapi jika objek pengembalian dana adalah kontrak jahat, mungkin akan menolak untuk menerima dan menyebabkan transaksi gagal, sehingga mempengaruhi proses pengembalian dana semua pengguna. Untungnya, kelemahan ini saat ini belum dimanfaatkan.
Terkait situasi tersebut, para ahli industri menyarankan tim proyek untuk mempertimbangkan beberapa hal saat merancang mekanisme pengembalian dana: membatasi peserta hanya untuk akun pengguna biasa, menggunakan stablecoin daripada aset asli, merancang fitur bagi pengguna untuk secara aktif mengambil pengembalian dana daripada pengembalian massal, dll.
Kekurangan kedua disebabkan oleh kesalahan logika perbandingan dalam kode. Dalam fungsi untuk mengekstrak dana proyek, terdapat sebuah pernyataan kondisi yang seharusnya membandingkan kemajuan pengembalian dana dan indeks penawaran, tetapi secara keliru dibandingkan dengan total jumlah penawaran. Ini menyebabkan kondisi tidak pernah terpenuhi, sehingga dana tim proyek terkunci secara permanen dalam kontrak. Diketahui, saat ini dana yang terkunci telah melebihi 34 juta dolar AS.
Peristiwa ini kembali memicu kekhawatiran di industri mengenai keamanan proyek koleksi digital. Meskipun dalam bidang keuangan terdesentralisasi, audit keamanan telah menjadi praktik umum, namun dalam proyek koleksi digital, audit keamanan tampaknya masih belum mendapatkan perhatian yang cukup. Para ahli menyerukan, tim proyek harus menulis kasus pengujian yang memadai selama proses pengembangan, membangun kesadaran keamanan dasar, dan mempertimbangkan untuk melibatkan audit keamanan profesional untuk menghindari kerugian besar yang disebabkan oleh kesalahan-kesalahan dasar yang serupa.
Peristiwa ini juga kembali mengingatkan kita, bahkan proyek terkenal sekalipun, mungkin memiliki risiko keamanan yang serius. Dalam bidang Web3 yang berkembang pesat, keamanan selalu harus menjadi faktor utama yang dipertimbangkan.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
19 Suka
Hadiah
19
7
Posting ulang
Bagikan
Komentar
0/400
PonziDetector
· 08-14 02:08
Kontrak kecil masih menyimpan jebakan.
Lihat AsliBalas0
CryptoHistoryClass
· 08-14 01:40
*memeriksa catatan sejarah* pola eksploitasi yang sama seperti TheDAO pada tahun 2016... kapan mereka akan belajar?
Lihat AsliBalas0
OfflineNewbie
· 08-11 03:40
Untungnya saya berlari cepat dan berhasil melarikan diri.
Lihat AsliBalas0
SchrödingersNode
· 08-11 03:35
Bodoh dan serakah, pantas saja.
Lihat AsliBalas0
SocialFiQueen
· 08-11 03:31
Lagi satu proyek turun ke nol ya
Lihat AsliBalas0
BlockTalk
· 08-11 03:29
Pengembalian dana lagi terhambat, tidak mengejutkan.
Kontrak koleksi digital memiliki dua celah besar, dana sebesar 34 juta dolar terkunci
Baru-baru ini, sebuah perusahaan keamanan menemukan dua celah serius dalam kontrak koleksi digital, yang memicu perhatian luas di industri ini. Kedua celah tersebut dapat menyebabkan aset pengguna ter鎖 dan dana tim proyek tidak dapat dicairkan.
Kelemahan pertama terletak pada fungsi pengembalian dana. Fungsi ini melakukan pengembalian dana untuk semua pengguna secara berulang, tetapi jika objek pengembalian dana adalah kontrak jahat, mungkin akan menolak untuk menerima dan menyebabkan transaksi gagal, sehingga mempengaruhi proses pengembalian dana semua pengguna. Untungnya, kelemahan ini saat ini belum dimanfaatkan.
Terkait situasi tersebut, para ahli industri menyarankan tim proyek untuk mempertimbangkan beberapa hal saat merancang mekanisme pengembalian dana: membatasi peserta hanya untuk akun pengguna biasa, menggunakan stablecoin daripada aset asli, merancang fitur bagi pengguna untuk secara aktif mengambil pengembalian dana daripada pengembalian massal, dll.
Kekurangan kedua disebabkan oleh kesalahan logika perbandingan dalam kode. Dalam fungsi untuk mengekstrak dana proyek, terdapat sebuah pernyataan kondisi yang seharusnya membandingkan kemajuan pengembalian dana dan indeks penawaran, tetapi secara keliru dibandingkan dengan total jumlah penawaran. Ini menyebabkan kondisi tidak pernah terpenuhi, sehingga dana tim proyek terkunci secara permanen dalam kontrak. Diketahui, saat ini dana yang terkunci telah melebihi 34 juta dolar AS.
Peristiwa ini kembali memicu kekhawatiran di industri mengenai keamanan proyek koleksi digital. Meskipun dalam bidang keuangan terdesentralisasi, audit keamanan telah menjadi praktik umum, namun dalam proyek koleksi digital, audit keamanan tampaknya masih belum mendapatkan perhatian yang cukup. Para ahli menyerukan, tim proyek harus menulis kasus pengujian yang memadai selama proses pengembangan, membangun kesadaran keamanan dasar, dan mempertimbangkan untuk melibatkan audit keamanan profesional untuk menghindari kerugian besar yang disebabkan oleh kesalahan-kesalahan dasar yang serupa.
Peristiwa ini juga kembali mengingatkan kita, bahkan proyek terkenal sekalipun, mungkin memiliki risiko keamanan yang serius. Dalam bidang Web3 yang berkembang pesat, keamanan selalu harus menjadi faktor utama yang dipertimbangkan.